02Windows日志分析[通俗易懂]

计算机系统日志作用

系统日志是记录系统中硬件、软件中的系统问题信息，同时还可以监视系统中发生的事件

用户可以通过日志来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹

Windows系统日志（包括应用程序、安全、安装程序和转发的事件）

服务器角色日志

应用程序日志

服务日志

事件日志基本信息

该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息

事件类型及描述

事件类型
错误	出现问题可能会影响触发事件的应用程序或组件外部的功能
警告	出现问题可能会影响服务器或导致更严重的问题
信息	应用程序或组件发送了改变
关键	出现故障导致触发事件的应用程序或组件无法自动恢复
审核成功	用户权限成功
审核失败	用户权限失败

安全性日志

通过日志审核功能，可以快速检测黑客的渗透和攻击，防止非法用户的再次入侵

主要通过以下事件策略审核：

查看系统日志方法

【开始】-【运行】-输入eventvwr.msc

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pOdz5uIo-1642739079996)(images/image-20220118111644755.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lbvHIkhw-1642739079999)(images/image-20220118111800290.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PUYh6VqV-1642739080001)(images/image-20220118111917893.png)]

事件类型分类

Windows事件日志中共有五种事件类型，所有的事件必须拥有五种事件类型中的一种，且只可以有一种

1、信息（Information）

信息事件指应用程序、驱动程序或服务的成功操作的事件

2、警告（Warning）

警告事件指不是直接的、主要的，但是会导致将来问题发送的问题

例如：当磁盘空间不足或未找到打印机时，都会记录一个“告警”事件

3、错误（Error）

错误事件指用户应该知道的重要的问题

错误事件通常指功能和数据的丢失

例如：如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件

4、成功审核（Success audit）

成功的审核安全访问尝试

主要是指安全性日志，这里记录着用户登陆/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登陆等事件，例如所有的成功登陆系统都会被记录为“成功审核”事件

5、失败审核（Failure audit）

失败的审核安全登陆尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为“失败审核”事件记录下来

常用事件ID

登陆类型以及描述