摘要:最近没事翻翻windows日志,了解一下常见日志错误,然后了解下痕迹清理。然后发现windows日志算的上有用也算的上没用。因为windows日志太过繁杂,貌似也没啥用.......,但是不记录一下的话下次又忘了
配置安全审核策略常见事件id登陆类型一些脚本一些补充配置安全审核策略其中的审核登录事件和审核账户登录事件区别别问我,自己看 右键审核账户登录事件-属性-说明 查看,还看不懂的话自己看https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-account-logon-events。反正大概就是 “当域用户账户在域控制器上被验证时,会产生账户登录事件。该事件被记录在域控制器的安全日志中。当本地用户在本地计算机上被验证时,会产生登录事件。该事件被记录在本地安全日志中,由于凭据验证是无状态的,因此帐户登录事件没有相应的注销事件。” 反正我做的实验表示——使用本地账户去登录域中的计算机或者本地计算机时会触发审核账户登录事件4776,而4776应该是属于审核账户登录事件的,使用域账户登录域中的计算机不会触发审核账户登录事件4776,使用域控去登录域中的计算机也不会触发4776事件。至于使用域账户登录域控我没试过......
在windows命令行中运行auditpol /list /subcategory:* /r,可以查看图中策略的详细内容。
常见事件idEvent ID(2000/XP/2003)Event ID(Vista/7/8/2008/2012)描述日志名称5171102日志清除安全5284624用户成功登录,比如用户输错密码安全5294625用户失败登录安全5524648试图使用显式凭据登录 ,我用账户密码使用远程桌面登陆的时候就会出现这个日志安全5764672给新登录分配特权,例如管理员登录会被分配特权安全5924688进程创建安全6244720已创建用户帐户,当创建一个用户账户的时候就会记录这个日志安全6264722已启用用户帐户,当创建一个用户的时候,就会记录这个日志,因为创建用户后默认都是启用,不会有人勾选不启用吧......安全6284724试图重置帐户密码,比如在域控中重置账户密码安全6324728成员已添加至全局组。安全6364732成员已添加至本地组。安全6424738已更改用户帐户,具体更改了用户的哪些信息,比如重置密码,用户登录名安全无4741计算机账户管理,域中新加入或者新建一台计算机安全无4743计算机账户管理,域中脱离或者删除一台计算机安全6724768请求了Kerberos身份验证票证(TGT)[备注:已成功颁发和验证身份验证服务 (AS) 票证。]安全6734769请求了Kerberos服务票证 [备注:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。]安全6804776验证帐户的凭据,比如登陆用户账户的时候就会有4776安全无5140网络共享对象被访问安全无5145具体访问了哪些文件安全无104日志清除系统无6005EventLog事件日志服务已启动。(当事件日志服务正常启动的时候电脑肯定开机)系统无6006EventLog事件日志服务已停止。(当事件日志服务正常停止的时候电脑肯定关机)系统无6009懒得找了,意会吧,当电脑非正常关机,比如直接拔电源,就会出现6009系统事件之间的关联:
文件共享文件共享 与 安全审核策略 中的 审核对象访问 有关。当 审核对象访问 开启的时候才能审核到事件5140和5145。(1)当在域中的一台电脑上开启文件共享,共享对象为domain users,然后 domain users访问文件共享里面的文件,文件服务器日志会记载以下事件4624 - 5140 - 5145 - 5145。
4624事件是 domian users 登录 文件服务器 的信息
//4624事件详细信息详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V2 密钥长度: 1285140事件详细信息为
//5140事件详细信息已访问网络共享对象。5145事件详细信息为
//5145事件详细信息已检查网络共享对象是否可以授予客户端所需的访问权限。5145事件详细信息为
//5145事件详细信息共享信息: 共享名称: \*E 共享路径: ??E: 相对目标名称: 新建文