Windows日志安全相关

1、Windows日志分类

1
2
3
4
5
6
7
8
9
Windows日志主要包含以下三类

(1)系统日志sysevent.evt

(2)应用程序日志appevent.evt

(3)安全日志secevent.evt

(注:普通用户只能查看系统日志和应用程序日志,安全日志只有管理员能查看)

2、Windows日志状态

1
2
3
4
5
6
7
8
9
10
11
Windows日志将记录事件的5种状态:

(1)信息(information)

(2)警告(warning)

(3)错误(error)

(4)成功审核(success audit)

(5)失败审核(failure audit)

3、Windows日志事件ID

访问Windows事件查看器命令:eventvwr,不同的事件ID代表了不同的事件类型。

常见事件ID说明:

事件ID 事件类型
4624 表示成功登陆的用户,用来筛选该系统的用户登录成功情况
4625 表示登录失败的用户,用来判断RDP爆破的情况
4720 用户创建
4722 用户启用
4726 用户删除