侧边栏壁纸
博主头像
比特研习社博主等级

求真求实 至诚至简

  • 累计撰写 12 篇文章
  • 累计创建 14 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录
教程

Window日志分析基础教程

比特研习社
比特研习社
2024-01-20 / 0 评论 / 0 点赞 / 31 阅读 / 3807 字

Window日志分析基础教程

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析。

打开日志

完成以下操作,进入事件查看器查看日志:

单击开始,在底部单击下拉按钮,然后单击运行

在运行对话框中执行命令eventvwr,打开事件查看器

shijian

您可以在事件查看器里查看以下四种日志。

说明

通过本文所述四种日志的查看方法找到的所有错误日志事件ID,您可以用于在微软知识库找到解决方法。

  • 系统日志

    在左侧导航栏,单击Windows 日志 > 系统,查看系统日志。

    系统日志包含Windows系统组件记录的事件。例如,系统日志中会记录在启动过程中加载驱动程序或其他系统组件失败。

    系统组件所记录的事件类型由Windows预先确定。

    sys

  • 应用程序日志

    在左侧导航栏,单击Windows 日志 > 应用程序,查看应用程序日志。

    应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。

    程序开发人员决定记录哪些事件。

    app

  • 安全日志

    在左侧导航栏,单击Windows 日志 > 安全,查看安全日志。

    安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。

    管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则安全日志将记录对系统的登录尝试。

    sa

  • 应用程序和服务日志

    应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。

    sto

日志元素

通过系统自带的事件查看器可查看Windows日志文件每个记录事件的数据结构一般包含9个元素:来源(S)、记录时间(D)、事件ID(E)、任务类别(Y)、级别(L)、关键字(K)、用户(U)、计算机(R)、操作代码(O)

image-20240120005938438

通过系统自带的事件查看器可查看Windows日志文件每个记录事件的数据结构一般包含9个元素:来源(S)、记录时间(D)、事件ID(E)、任务类别(Y)、级别(L)、关键字(K)、用户(U)、计算机(R)、操作代码(O)

日志容量

Windows系统内置"System(系统)、Security(安全)、Application(应用、程序)"的三个核心日志文件默认大小均为20480KB(约20MB),当日志文件数据记录超过20MB时会覆盖掉过期的日志记录;其他的应用程序以及服务日志默认大小均为1028KB(约1MB),默认超过这个大小同样按需要覆盖事件(旧事件优先覆盖)。

查看路径:事件查看器->Windows日志->应用程序->属性

image-20240120010107423

事件查看器->Windows日志->应用程序->属性】
点击即可查看到应用程序日志属性默认的设置参数,即日志路径、创建时间、修改时间、访问时间、日志最大大小、达到事件日志覆盖阀值等操作等。

储存位置

存储路径:%SystemRoot%\System32\winevt\Logs

%SystemRoot%:指代操作系统的"系统目录"或者"根目录",默认系统安装是在C盘;可以通过输入cmd命令"echo %systemroot%"查看,win7之后一般是**"C:\Windows"**。

【Windows 2000 / Server2003 / Windows XP安全日志默认位置:C:\WINDOWS\System32\config\SecEvent.Evt】

名称说明
系统日志(System.evtx)系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。
应用程序日志(Application.evtx)应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。
安全日志(Security.etvx)安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。

所以Windows11的Windows日志默认存放位置为:C:\Windows\System32\winevt\Logs

image-20240120010301672

Windows日志导出/保存类型有"evtx、xml、txt、csv"四种,默认存储evtx格式,可以选择全部导出或者单条日志文件导出。

0
日志 Windows 电子取证
版权归属: 比特研习社
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

评论区