初探Windows日志分析

  1. 审核策略
  2. Windows日志相关
    1. 查看Window日志
    2. 筛选Windows日志

审核策略

secpol.msc快捷打开

打开之后根据自身情况进行配置,配置完成之后需重启电脑才能生效

Windows日志相关

查看Window日志

eventvwr(event viewer)快捷打开

筛选Windows日志

例如筛选登陆相关的日志:

首先我们需要知道登录相关的事件ID,常见登陆相关事件及其ID如下:

Event ID 描述
4624 登陆成功
4625 登陆失败
4634 注销成功

可以通过微软官方文档www.ultimatewindowssecurity.com来查找Event ID对应的事件

点击筛选当前日志,然后根据窗口提示输入Event ID就完事了

要查看哪个用户登录,只需要单击一下日志,之后在详细信息中可找到登陆的用户名和登录IP

列出常用Event ID

Event ID 描述
104 记录所有审计日志清除事件,有日志被清除时出现此事件
1074 计算机开关机、重启的时间等
4624 登陆成功
4625 登陆失败
4634 注销成功
4720 创建账户
4722 启用账户
4724 修改密码
4726 删除账户
4738 更改账户
4732 添加用户到某组中
4733 从某组中删除用户

如果我的文章能帮到您的话我会很开心.如需转载记得注明出处:)
目录