Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

查看系统日志方法,Windows系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows系统日志。打开事件查看器方法:开始->运行->输入eventvwr->回车的方式快速打开该工具。系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:

1.信息(Information)信息事件指应用程序、驱动程序或服务的成功操作的事件。

2. 警告(Warning)警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

3. 错误(Error)错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

4. 成功审核(Success audit)成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

5. 失败审核(Failure audit)失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

蓝盟it外包规划(蓝盟IT外包聊聊 Windows系统日志)(1)

Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本:

事件ID 说明

1102 清理审计日志

4624 账号成功登录

4625 账号登录失败

4768 Kerberos身份验证(TGT请求)

4769 Kerberos服务票证请求

4776 NTLM身份验证

4672 授予特殊权限

4720 创建用户

4726 删除用户

4728 将成员添加到启用安全的全局组中

4729 将成员从安全的全局组中移除

4732 将成员添加到启用安全的本地组中

4733 将成员从启用安全的本地组中移除

4756 将成员添加到启用安全的通用组中

4757 将成员从启用安全的通用组中移除

4719 系统审计策略修改

五种事件类型中,最为重要的是成功审核(Success Audit),所有系统登录成功都会被标记成为成功审核。每个成功登录的事件都会标记一个登录类型:

登录类型 描述

2 交互式登录(用户从控制台登录)

3 网络(例如:通过net use,访问共享网络)

4 批处理(为批处理程序保留)

5 服务启动(服务登录)

6 不支持

7 解锁(带密码保护的屏幕保护程序的无人值班工作站)

8 网络明文(IIS服务器登录验证)

10 远程交互(终端服务,远程桌面,远程辅助)

11 缓存域证书登录

当服务器出现入侵攻击或者中病毒的时候,这些日志信息在取证和溯源中扮演着重要的角色,如果无法通过日志取证进行溯源,往往无法查到入侵攻击或者病毒感染的本质原因,只是单纯的修复系统,恢复业务,很有可能一段时间后,入侵攻击和病毒感染还会按照同样的路径攻击得手,彻底查出系统安全漏洞所在的必要依据就是系统日志。如何设置,归档,利用日志做好溯源工作等也是安全工作的重要一环,如果对Windows系统日志需要进一步了解,请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟 IT外包专家

,