当windows服务器遭到入侵时,在运行过程中经常须要检索和深入分析相应的安全日志。
除安全防护设备外,系统软件内置系统日志是调查取证的关键材料,但此类系统日志数量非
常庞大,须要对windows安全日志开展合理深入分析,以获取我们需要的有用信息,这一点
尤为重要。本文详细介绍了windows的系统日志种类,存储具体位置,检索方式,以及使用
工具的方便检索。
系统日志信息在windows系统软件运行过程中会不断地被记录,依据记录的种类能够分成系
统日志、IIS系统日志、ftp客户端系统日志、数据库系统日志、邮件服务系统日志等。活动
记录,WindowsEventLog文件实际上是以一种特殊的数据结构存储内容,包含关于系统软
件、安全性、应用软件的记录。在每一个记录事件的数据结构中包含9个要素(这能够理解
为数据库中的字段):日期/时间、事件种类、用户、计算机、事件ID、源、类别、说明、
数据等等。操作员能够通过系统日志调查取证,了解到计算机中发生的具体行为。
统日志、IIS系统日志、ftp客户端系统日志、数据库系统日志、邮件服务系统日志等。活动
记录,WindowsEventLog文件实际上是以一种特殊的数据结构存储内容,包含关于系统软
件、安全性、应用软件的记录。在每一个记录事件的数据结构中包含9个要素(这能够理解
为数据库中的字段):日期/时间、事件种类、用户、计算机、事件ID、源、类别、说明、
数据等等。操作员能够通过系统日志调查取证,了解到计算机中发生的具体行为。
启动-运行,键入bindvwr.msc点开事件查看器来查询系统日志。您能够看到,事件查看器
将系统日志分成两大类:windows系统日志、应用软件系统日志和服务系统日志,其中还
有一些种类的事件,如应用软件、安全性、setup、系统软件、forwardedevent。下面分
别开展详细介绍:
将系统日志分成两大类:windows系统日志、应用软件系统日志和服务系统日志,其中还
有一些种类的事件,如应用软件、安全性、setup、系统软件、forwardedevent。下面分
别开展详细介绍:
活动种类
·应用软件系统日志。
包含应用软件或系统软件程序记录的事件,主要是记录程序执行层面的事件,例如数据库程
序能够记录应用软件系统日志中的文件不正确,软件开发人员能够自己选择要监视哪些事件
。当一个应用软件瘫痪时,我们可以从程序系统日志中找到对应的记录,这可能对解决问题
有所帮助。
序能够记录应用软件系统日志中的文件不正确,软件开发人员能够自己选择要监视哪些事件
。当一个应用软件瘫痪时,我们可以从程序系统日志中找到对应的记录,这可能对解决问题
有所帮助。
预设地点:%SystemRoot%\系统软件32\Winevt\登录\应用软件.evtx。
·系统日志。
由操作系统组件发生的事件记录,具体包含驱动软件瘫痪、系统软件组件和应用软件瘫痪以
及数据丢失不正确等。WindowsNT/2000操作系统预先定义了系统日志中记录的时间种类。
及数据丢失不正确等。WindowsNT/2000操作系统预先定义了系统日志中记录的时间种类。
预设地点:%SystemRoot%\System32\Winevt\登录\系统软件.evtx
·安全记录
包含应用软件或系统软件程序记录的事件,主要是记录程序执行层面的事件,例如数据库程
序能够记录应用软件系统日志中的文件不正确,软件开发人员能够自己选择要监视哪些事件
。当一个应用软件瘫痪时,我们可以从程序系统日志中找到对应的记录,这可能会帮助您解
决问题。
序能够记录应用软件系统日志中的文件不正确,软件开发人员能够自己选择要监视哪些事件
。当一个应用软件瘫痪时,我们可以从程序系统日志中找到对应的记录,这可能会帮助您解
决问题。