Windows日誌與稽核

2018.7.20

Windows事件日誌簡介

位置 管理工具-事件檢視器

本質上是資料庫：發生什麼--什麼時間-與誰有關-是否系統相關-訪問什麼資源

共有五種事件級別：所有的事件必須只能擁有其中的一種事件級別

成功的稽核安全訪問嘗試，主要指安全性日誌，所有的成功登入系統都會被記錄為成功稽核事件

Windows日誌檔案

檔名、結構、儲存位置

新；副檔名evtx   位置“%systemroot%”\system32\winevt\logs

位置

位置

Windows事件日誌分析

Win7和winser2008r2

使用者登入與登出

場景

判斷哪個使用者登入

分析被控制的使用者的使用情況

事件id

4624 -登入成功

4625 -登入失敗

4634/4647-登出成功

4672-使用超級使用者進行登入

追蹤硬體變動

場景

分析那些硬體裝置什麼時間安裝到系統中

事件id

20001 即插即用驅動安裝-系統日誌

20003 即插即用驅動安裝-系統日誌

4663 移動裝置訪問成功

4656 移動裝置訪問失敗 安全日誌

無線網路位置

事件id

10000-網路連線成功

10001-連線失敗

篩選日誌

*其他日誌分析工具

Windows安全審計實戰

配置審計策略

• 安全日誌
  1. 記錄系統的安全審計事件，包含各種型別的登入日誌、物件訪問日誌、程序追蹤日誌、特權使用、賬號管理、策略變更
• 應用程式日誌
• 系統日誌
• 失敗稽核failure audit
• 資訊information
• 警告warning
• 錯誤error
• 成功稽核success audit