Windows Event Log Là Gì

  -  

Chào phần đông bạn, ni ngồi rảnh gõ mấy chiếc gìn giữ sau đề nghị tìm cho nkhô hanh, hoàn toàn có thể những báo cáo không đủ sót tuy nhiên hầu như công bố này bản thân đã có lần thao tác cùng với nó.quý khách vẫn xem: Windows sự kiện log là gì

Đang xem: Windows sự kiện log là gì

Loạt bài bác này mình sẽ viết một không nhiều bài về Điều tra vi phạm luật ANTT, gặp mặt dòng nào viết mẫu kia với đã đi rảnh. Bài này còn có tham khảo (dịch thuật) tất cả tổng thích hợp tay nghề + chỗ khác về “Windows Event Log Analysis” tạm thời dịch là “Kỹ thuật so sánh Event Log bên trên Windows”, bản cội tại đây: https://www.appliedincidentresponse.com/windows-event-log-analyst-reference/


*

*

*

*

Hướng Dẫn Sử Dụng Event Viewer Trên Windows Event Log Là Gì, Điều Tra Windows Server Bị Tấn Công 10

Hình 04 – Các Event ID liên quan đăng nhập, đăng xuất tài khoản

2.3) Event về truy cập nói qua folder/object: khoác định log này không được lưu lại, nhằm nhảy log này chúng ta truy cập vào “Group Policy Management” để chỉnh sửa (vào RUN gõ gpedit.msc để mngơi nghỉ Group Policy), đường dẫn cấu hình: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> phân tích và đo lường Policies -> Object Access -> phân tích và đo lường File Share.

Bạn đang xem: Windows event log là gì

Các Event ID cho Object Sharing gồm ID tự 5140 đến 5145.

2.4) Event về Scheduled Task: các event tương quan cho lập kế hoạch.

Hình 05 – Các Event ID tương quan Scheduled Task bên trên Windows

2.5) Event về thống trị chế độ (policy audit): hiện ra khi những thay đổi policy trên máy vi tính.

Event ID liên quan về policy bao gồm ID là 1102 với 4719.

2.6) Event về những hình thức dịch vụ bên trên windows (windows service): hình thành Khi liên quan các dịch vụ chạy trên windows, khoác định không được enabled, hy vọng cấu hình các bạn vào GPO cập nhật theo đường dẫn sau “Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies > System > phân tích và đo lường Security System Extension”.

Nếu OS là Windows 10 cùng Server 2016/2019 thì Event ID là 4697 sinh sống mục Security Event Log.

Hình 06 – Các Event ID tương quan hình thức chạy trên Windows (Windows Services)

Hình 07 – Các Event ID liên quan kết nối mạng LAN, Wireless bên trên Windows

2.8) Event về tiến trình (process audit): tương quan những tiến trình bên trên windows. Mặc định log này sẽ không được bât, nhằm cấu hình các bạn vào chỉnh trong nhóm Policy theo dường dẫn sau “Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> phân tích và đo lường Policy -> Audit process tracking”.

Xem thêm: Tải Game Võ Lâm Truyền Kỳ 2 Online, Tải Game Võ Lâm 2 Xưa

Hình 08 – Các Event ID tương quan quản lý các bước trên Windows

2.9) Event về Windows Filtering Platkhung (WFP): thường xuyên chạm chán Khi tất cả ứng dụng chạy xe trên lắp thêm bị block/accept như firewall.

Cái này đặc biệt quan trọng khi điều tra coi quy trình nào vẫn liên kết ra C2 như thế nào.

Hình 09 – Các Event ID liên quan kết nối trên máy tính Windows

2.9) Event về thực hiện chương trình (exedễ thương program): một số event thường xuyên gặp mặt lúc điều tra về các tiến trình kỳ lạ được xúc tiến tương quan mang đến các action của Windows Defender.

Hình 10 – Các Event ID liên quan action của Windows Defender

2.10) Event về PowerShell: lưu lại các event Khi powershell được gọi ra với thực hiện câu lệnh. Log này mặc định ko được enabled, để enabled log ta vào Group Policy cấu hình băng thông sau “Computer Configuration -> Policies -> Administrative sầu Templates -> Windows Components -> Windows PowerShell”.

Event ID của powershell được filter qua 02 ID là 41034104.

Còn liên tiếp cập nhật…

Trên phía trên bản thân tổng hợp một số đọc tin về Event Log, để chi tiết minc hoạ hơn về những trường phù hợp tốt gặp mặt để cách xử lý, truy nã lốt sự rứa, bản thân vẫn update ứng với những bài viết vào loạt bài bác “Điều tra phạm luật ANTT”.

Xem thêm: Hitman: Game Of The Year Edition Full Crack Pc, Hitman: Game Of The Year Edition

Mình dịch thuật và cập nhật lên tiếng hoàn toàn có thể ko đúng chuẩn xuất xắc không giống với OS / phiên bạn dạng, các bạn góp ý góp ở vị trí comment nhé.