Windows日志浅析

原文来源:http://blog.sina.com.cn/s/blog_6fe99b2f0100n7f4.html,进行了简单修正。这里 还有一篇关于EventLog Analyzer

注意:Windows 从2008开始对事件ID进行重新调整,本文事件ID均是Windows2003中的ID。

(一)Windows产品日志

从这篇文章开始本人开始结合Windows产品日志分析大神(RANDY FRANKLIN SMITH)的电子书,以及自己的实验对Windows操作系统的日志开始分析。也是对自己的一种激励,至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解,好了,废话不多说了,回归正题。

   Windows日志从Windows2000版本后共包括9种审计策略,Windows NT只有7种(此次没验证,懒得装NT虚拟机了)。共分为:帐户登录、登录、对象访问、目录服务访问、进程追踪、特权使用、帐户管理、策略变更、系统事件9大类。

    其中帐户登录其实是对登录用户的认证事件,据大神Randy自己说,称其为“认证事件“更为合适。登录事件记录的是用户登录到哪台PC的事件。对象访问记录的是用户对Windows对象的访问事件,这里对象包括注册表、服务、打印机、文件/文件夹等。目录服务访问就是对AD中所有对象的访问事件。进程追踪则为主机执行的程序事件,不管是由用户自己执行还是系统自动执行的。特权使用指用户使用分配的特权的事件,这里特权指在本地安全策略中分配给用户的权限。帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件。策略变更指本地安全策略或DC上信任关系变化的事件。系统事件则涉及到一些安全事件的杂项,如系统的启动和关闭、系统事件修改等等。

    9类审计策略大概的介绍就到这里,在随后的文章中会分别具体地说明,自己也尽可能在Windows2003操作系统进行验证。

(更多…)

0评论
Windows Server 2012 R2 打开网页异常的慢

安装了一台Windows server 2012 Datacenter,发现打开网页异常(非常)的慢,而下载速度倒是正常的。反复排查,换浏览器、查病毒、换DNS、ping、检查系统各种配置、系统更新各种尝试,没有解决。 使用Chrome分析网络发现,主要耗时在“initial connection”环节,长达5-10秒,这个时间应该主要是用于TCP握手,于是灵机一动,是不是这个Windows的问题,一搜索…

0评论
因沃通事件,我也得更换 SSL 证书了

如果你的网站在Chrome中遇到这样的错误: Certificate error There are issues with the site's certificate chain (net::ERR_CERT_REVOKED). 意识是说你的证书信任出现问题。首先要检查一下你是不是 “沃通 China” 颁发的证书。 好不容易搞了一个支持HTTPS的网站,居然卷入了证书实效风波,那个被Google屏蔽…

0评论
PostGIS 安装及升级

一直使用Qgis 配合 Postgis进行GIS系统管理。 升级Qgis到1.70后发现 Postgis Manager不能正常使用,报错“index error”。怀疑是PostGis版本问题,于是尝试升级Postgis。 下载了最新版本的(2.0)的PostGIS,安装包方式安装,安装后发现并不能自动升级原来的旧数据库到新版本,旧版本是1.5的。 于是查找如何升级旧的数据库,安装文档介绍PostGIS…

0评论
如何在InDesign中置入多页PDF文档

有一本复杂的手册,内容来源比较复杂,各种格式都有,所以想用InDesign来汇编排版,简单研究了一下,卡在了置入文档这一步。

Wrod文档倒是很容易发现了,置入时按住Shift键,就可以连续置入,并自动建立后续页。但是置入PDF时,本来以为都是Adobe一家的东西应该支持的更好,可是没想到置入PDF反而是一件困难的事。反复求教Google大神,发现如下:

(更多…)

0评论
IBM Server Raid 8K,硬盘故障处理过程笔记

  设备信息: IBM X3650 / Server Raid 8K / SCSI 硬盘 146.7G×6 Raid 5   基本情况:   2012.1.16 晚上6点左右,服务器自行关机,第二天早上发现,启动服务器后,停止在BIOS自检界面,报错   BIOS自检报错:   !!!CRITICAL ERROR:Memory retentio…

0评论
Drupal7 安装使用笔记

Drupal 是一个开放、集成、开源、插件化、先进的CMS平台。 Drupal is an open source content management platform powering millions of websites and applications. It’s built, used, and supported by an active and diverse communi…

0评论
iPhone 3G 升级手记 4.2.1 以及 iPhone 平台心得

几点经验 iPhone的基带是解锁的关键,基带只能升不能降(如果实在要降需要专业工具辅助),所以操作基带要非常小心 iPhone的官方ROM是包含基带的,解锁是和基带相关的,所有升级ROM前一定要搞清楚ROM含不含基带,基带是什么版本,能不能解锁 一些自制的ROM是把基带剔除了的,刷这样的ROM不会更新你的基带 越狱是解锁的前提,必须先越狱才能解锁,越狱成功了也就不会卡在紧急呼叫界面了 刷机时请务必确定一…

7评论
关闭菜单