日志文件
在Windows系统中,日志默认存放位置目录为:%SystemRoot%\System32\Winevt\Logs\
常见的 .evtx 文件
| 文件名 | 描述 |
|---|---|
| Application.evtx | 记录应用程序相关的事件日志 |
| System.evtx | 记录系统级别的事件日志 |
| Security.evtx | 记录安全事件和审计日志 |
| Setup.evtx | 记录与系统安装和升级相关的事件日志 |
| ForwardedEvents.evtx | 用于记录从其他系统转发的事件日志 |
一般我们主要查看的三类日志是:应用程序日志、安全日志、系统日志
应用程序日志:包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,默认存放路径:%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志:记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。这个日志一般是安全工程师重点关注对象。默认存放路径:%SystemRoot%\System32\Winevt\Logs\Security.evtx
系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。默认存放路径:%SystemRoot%\System32\Winevt\Logs\System.evtx
Windows 事件日志
Windows 事件日志是记录系统事件的文件,涵盖了应用程序错误、系统错误和安全事件等。通过这些日志,我们可以追溯问题发生的原因,了解计算机的健康状况,以及排除故障
比如系统崩溃时,Windows 就会创建一个日志来记录崩溃原因。
事件日志通常包括以下这些信息:
- 日志名称:事件所属的类型
- 来源:产生事件的应用或组件
- 事件 ID:用于识别具体事件的编号
- 级别:事件的严重程度,比如「信息」、「警告」和「错误」等
- 用户:事件发生时的用户账户
- 操作代码:也叫 OpCode,记录触发事件时所执行的操作
- 记录时间:事件发生的具体时间
- 任务类别:提供事件更多细节的分类
- 关键字:用于分类事件的关键词,常见的有「经典」
- 计算机:记录事件的计算机名称
常见的事件 ID说明及详细信息
账户登录与注销
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 4624 | 用户成功登录到系统 | 登录类型、登录用户、登录来源、IP地址 |
| 4625 | 用户尝试登录系统但失败 | 失败原因、登录类型、失败的用户名 |
| 4634 | 用户成功注销系统 | 注销的用户名、注销类型 |
| 4647 | 用户主动注销会话 | 注销的用户名 |
账户管理
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 4720 | 系统中创建了新用户账户 | 新账户名、创建的账户名 |
| 4722 | 用户账户被启用 | 启动的账户名 |
| 4725 | 用户账户被禁用 | 禁用的账户名 |
| 4726 | 用户账户被删除 | 删除的账户名、删除者的账户名 |
安全策略变更
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 4670 | 权限服务状态发生了变更 | 对象名称、权限变更的细节 |
| 4719 | 系统的审计策略发生了更改 | 更改的策略、变更者的账户名 |
系统事件
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 6005 | Windows 事件日志服务启动 | 无 |
| 6006 | Windows 事件日志服务停止 | 无 |
| 6008 | 系统未预期地关闭 | 关机时间、原因等 |
特权使用
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 4672 | 分配给用户或组的特权服务 | 特权类型、用户账户名 |
| 4673 | 请求执行特权服务 | 请求的服务类型、用户账户名 |
防火墙事件
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 4946 | 新的防火墙规则被添加 | 规则名称、添加者的账户名 |
| 4947 | 防火墙规则被修改 | 规则名称、修改的细节 |
文件访问
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 4663 | 用户尝试访问受保护的文件或对象 | 对象名称、访问的类型、用户账户名 |
服务状态
| 事件ID | 说明 | 详细信息 |
|---|---|---|
| 7036 | 服务已更改状态(如启动或停止) | 服务名称、新状态 |