大家好,很高兴再次见到大家,我是你们的朋友全栈君。
Windows 系统主要记录以下三类日志以记录系统事件:应用程序日志、系统日志和安全日志。
Windows 系统的日志文件路径如下:
- 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx,主要记录操作系统组件产生的事件,包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。
- 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx,主要记录由应用程序或系统程序产生的事件,关注程序运行方面的事件。
- 安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx,记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账户管理、策略变更、系统事件等。安全日志在调查取证中非常常用,默认情况下是关闭的,管理员可以通过组策略或在注册表中设置审核策略来启用安全日志,以便在日志满后使系统停止响应。
手动分析日志时,可以通过以下步骤找到日志文件:
-
日志文件位置:可以通过控制面板→管理工具→事件查看器,或者使用快捷键 Win + R 并输入
eventvwr.msc
来访问。
- EVENT ID含义:在Windows事件日志分析中,不同的EVENT ID代表了不同的意义,常见的有:
- 4624:登录成功
- 4625:登录失败
- 4634:注销成功
- 4647:用户启动的注销
- 4672:使用超级用户登录(管理员)进行登录
- 4720:创建用户
- 4776:成功/失败的账户认证
- eventlog事件快速筛选:可以快速筛选特定的事件日志。
例如,筛选系统日志时,以下 EVENT ID 表示不同状态的机器情况:
- 6005:信息 EventLog 事件日志服务已启动
- 6006:信息 EventLog 事件日志服务已停止
- 6009:信息 EventLog 按 ctrl、alt、delete 键(非正常)关机
查看 EVENT ID 6009:
也可以查看 EVENT ID 6005-6009:
使用 Log Parser 等工具进行日志分析:
Log Parser 是微软公司提供的一款日志分析工具,可以对文本格式的日志文件、XML 文件和 CSV 文件,以及 Windows 操作系统上的事件日志、注册表、文件系统等进行处理分析。分析结果可以保存为自定义格式的文本、SQL 或各种图表。
- Log Parser 的使用:安装目录在 C:\Program Files (x86)\Log Parser 2.2。
使用 Log Parser 的基本命令格式为:
LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”
输入源经过 SQL 语句处理后,可以输出所需的格式。输入源的格式如 EVT(事件)、Registry(注册表)等,每种输入源有固定的字段值,可以使用
logparser –h –i:EVT查看(以 EVT 为例)。
例如,筛选所有登录成功的事件:
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624”
- Event Log Explorer:下载地址为 https://www.php.cn/link/da56d057fe13171851e819d9be266cf5 Log Explorer 是一款非常实用的 Windows 日志分析工具,可以查看、监控和分析事件记录,包括安全、系统、应用程序和其他 Microsoft Windows 的记录。其强大的过滤功能可以快速筛选出有价值的信息。
参考资料:
- https://www.php.cn/link/ce651728d53387a4dc56052bc6d035dd
- https://www.php.cn/link/9f3fedf17034316a32b96e87686c44d9
- https://www.php.cn/link/cbccf404f52466bc599c6fb168c1f9f8
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请发送邮件至举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://www.php.cn/link/f1543ed948fae345d291eea0a5968985 原文链接:https://www.php.cn/link/c8377ad2a50fb65de28b11cfc628d75c
