我们来讲windows日志,windows日志主要有三部分,就是分别是系统日志,还有应用程序日志,还有安全日志。系统日志是记录了操作系统逐渐产生的事件,主要包括系统操作驱动程序,还有系统组件和应用程序的崩溃以及数据丢失错误等的事件。系统日志中记录的事情由windows这个操作系统预先定义,它的默认位置是在这里。Sitdown。它你的系统盘的下面的system32日志,下面的一个文件,它的后缀是evt,然后应用程序预知是包含了应用程序和系统程序记录的事件,主要记录程序运行方面的事件。
例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件,如某些应用程序出现崩溃,那么我们可以从程序事件中找到相应的记录。记录的日志路径也是跟上面差不多,它是记录的是特定的某一些应用程序的日志,还有重要的一个日志就是安全日志,它记录的是系统安全的审计,包括很多种类型的登录,还有对象的访问,还有进程的追踪,还有特权的使用,权限的变更,还有这是,账号的管理,还有策略一些敏感的策略的变更,还有系统的重要事件。
安全日志也是调查取证中,最常用到的日志默认设置是安全日志是关闭的,管理员可以使用主策略来启动,或者是这类表中的审核表,然后它的默认位置的话也是这里,它默认是储存在这里,但是你也可以改到其他地方。然后怎么查看,我们可以在计算机管理 Windows日志下面查看它还有一个功能是筛选的功能,然后我现在打开看一下,管理,然后事件查看器,下面有windows日志,然后下面有应用程序的日志,还有安全日志, sister,系统的日志,还有这个是安装的日志,下面还有其他的主要是应用程序,安全和系统。
但是在这三个当中最主要就是安全,因为它的一些审核都在这里,记录着哪个权限,他做了什么,然后我们可以在右边查找这里,可以查找,还有筛选,哪一天的什么时候的应用程序安全和系统审核成功审核有没有过,然后还有日志的登录类别,有几种,有一些常见的,三就是网络登录服务,还有一些明文登录,还有身份变更,它都可以根据类别。还有这个例子是远程桌面爆破的日志,就是有大部分的审核失败,而且是在同一时间之内,大部分审核失败很明显,有黑客在远程登录。