zoukankan      html  css  js  c++  java
  • Windows应急日志常用的几个事件ID

    Windows应急日志常用的几个事件ID
    点击站内没有搜索到,可能搜索姿势不对,发一下吧,应急时可能会用到,根据日志时间点判断入侵

    日志路径:C:WindowsSystem32winevtLogs
    查看日志:Security.evtx、System.evtx、Application.evtx
    如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器

    打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。

    系统:
    1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
    6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
    104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。

    安全:
    4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
    4625,这个事件ID表示登陆失败的用户。
    4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
    4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。
  • 相关阅读:
    hdu 6049 Sdjpx Is Happy
    L2-012. 关于堆的判断
    L2-010. 排座位
    L2-009. 抢红包
    L2-007. 家庭房产
    L2-008. 最长对称子串
    L2-011. 玩转二叉树
    l2-006 树的遍历
    l2-005
    l1-20 帅到没朋友
  • 原文地址:https://www.cnblogs.com/hookjoy/p/11207658.html
Copyright © 2011-2022 走看看