zoukankan      html  css  js  c++  java
  • Windows应急日志常用的几个事件ID

    Windows应急日志常用的几个事件ID
    点击站内没有搜索到,可能搜索姿势不对,发一下吧,应急时可能会用到,根据日志时间点判断入侵

    日志路径:C:WindowsSystem32winevtLogs
    查看日志:Security.evtx、System.evtx、Application.evtx
    如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器

    打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。

    系统:
    1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
    6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
    104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。

    安全:
    4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
    4625,这个事件ID表示登陆失败的用户。
    4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
    4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。
  • 相关阅读:
    HorizontalScrollView水平滚动控件
    编解码学习笔记(十):Ogg系列
    449A
    要点Java17 String
    struts2复习(五)拦截器总结
    java的wait和notifyAll使用方法
    centos网速特别慢的最佳解决的方法
    一年成为Emacs高手(像神一样使用编辑器)
    c++ 操作注冊表
    python 多线程编程
  • 原文地址:https://www.cnblogs.com/hookjoy/p/11207658.html
Copyright © 2011-2022 走看看