Windows日志及其保护

Windows⽇志 在计算机领域，⽇志⽂件（logfile）是⼀个记录了发⽣在运⾏中的操作系统或其他软件中的事件的⽂件，或者记录了在⽹络聊天软件的⽤户之间发送的消息。

⽇志记录（Logging）是指保存⽇志的⾏为。

最简单的做法是将⽇志写⼊单个存放⽇志的⽂件。

1、Windows⽇志应⽤程序⽇志安全⽇志系统⽇志Scheduler服务⽇志FTP⽇志WWW⽇志DNS服务器⽇志这些⽇志的种类会根据你的系统开启的服务的不同⽽有所不同，我们在系统上进⾏⼀些操作时，这些⽇志⽂件通常会记录下我们操作的⼀些相关内容，这些内容对系统安全⼯作⼈员相当有⽤。

⽐如说有⼈对系统进⾏了IPC探测，系统就会在安全⽇志⾥迅速地记下探测者探测时所⽤的IP、时间、⽤户名等，⽤FTP探测后，就会在FTP⽇志中记下IP、时间、探测所⽤的⽤户名等。

（百度百科）通过事件查看器查看（简单打开⽅法：windows+R，输⼊：eventvwr回车）通过Powershell(管理员权限)常⽤命令查看所有⽇志：Get-WinEvent查看应⽤程序⽇志：Get-WinEvent -FilterHashtable @{logname="Application";}2、Windows需要了解的⽇志及其作⽤与位置系统⽇志: 存放了Windows操作系统产⽣的信息、警告或错误。

通过查看这些信息、警告或错误，不但可以了解到某项功能配置或运⾏成功的信息，还可了解到系统的某些功能运⾏失败，或变得不稳定的原因。

安全⽇志: 存放了审核事件是否成功的信息。

通过查看这些信息，可以了解到这些安全审核结果为成功还是失败。

应⽤程序⽇志: 存放应⽤程序产⽣的信息、警告或错误。

通过查看这些信息、警告或错误，可以了解到哪些应⽤程序成功运⾏，产⽣了哪些错误或者潜在错误。

程序开发⼈员可以利⽤这些资源来改善应⽤程序。

应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志默认位置：%systemroot%\system32\config（%systemroot%不懂可以查windows变量）安全⽇志⽂件： %systemroot%\system32\config\SecEvent.EVT系统⽇志⽂件： %systemroot%\system32\config\SysEvent.EVT应⽤程序⽇志⽂件： %systemroot%\system32\config\AppEvent.EVTDNS⽇志： %systemroot%\system32\config\DnsEvent.EVTFTP⽇志默认位置： %systemroot%\system32\logfiles\msftpsvc1\WWW⽇志默认位置： %systemroot%\system32\logfiles\w3svc1\（FTP⽇志和WWW服务⽇志，默认每天⼀个⽇志）Scheduler计划任务服务⽇志默认位置：%systemroot%\Tasks\schedlgu.txt（由于系统屏蔽的原因，只能在命令⾏下查看）FTP 和WWW服务⽇志详解：FTP⽇志和WWW⽇志默认情况，每天⽣成⼀个⽇志⽂件，包含了该⽇的⼀切记录，⽂件名通常为 ex （年份）（⽉份）（⽇期）例如： ex180226，（2018年2⽉23⽇产⽣的⽇志）这个由于对IIS并不了解还没有尝试这些位置不⼀定能找到你想要找的⽇志，可以按照下⾯的注册表中的⽇志路径去查找⽇志的位置以上⽇志在注册表⾥的键：应⽤程序⽇志、安全⽇志、系统⽇志、DNS⽇志，这些log⽂件在注册表中的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\EventlogSchedluler服务⽇志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent3、windows⽇志分析在Windows⽇志中记录了很多的操作事件，为了⽅便管理，每种类型的事件都有⼀个惟⼀的编号，这就是事件ID。

常用的windows系统日志的类型Windows系统日志是记录Windows操作系统运行过程中发生的事件和错误的重要工具。

它可以帮助用户追踪系统问题，并提供信息以便进行故障排除和修复。

本文将介绍常见的Windows系统日志类型及其功能。

一、应用程序日志应用程序日志记录了应用程序运行过程中的事件和错误信息。

它可以帮助用户识别应用程序崩溃、错误和警告，以及追踪应用程序的运行情况。

例如，当一个应用程序崩溃时，应用程序日志会记录崩溃的原因，以便用户进行修复。

二、安全日志安全日志记录了与系统安全相关的事件，如用户登录、账户权限变更、安全策略的修改等。

它可以帮助用户监控系统的安全性，及时发现异常行为和安全威胁。

例如，当一个用户尝试登录多次失败时，安全日志会记录这一事件，并提醒用户注意可能存在的入侵行为。

三、系统日志系统日志记录了系统运行过程中的事件和错误信息。

它可以帮助用户了解系统的运行状态，以及识别系统故障和错误。

例如，当系统启动时，系统日志会记录启动过程中的事件，包括硬件检测、驱动加载等，以便用户了解系统启动的情况。

四、设备管理日志设备管理日志记录了与设备管理相关的事件和错误信息。

它可以帮助用户了解设备的连接和断开情况，以及设备驱动程序的加载和卸载情况。

例如，当用户连接一个新的USB设备时，设备管理日志会记录设备的连接信息，包括设备类型、厂商信息等。

五、互联网连接日志互联网连接日志记录了与互联网连接相关的事件和错误信息。

它可以帮助用户了解系统与互联网的连接状态，以及识别网络问题和故障。

例如，当用户无法连接到互联网时，互联网连接日志会记录连接失败的原因，如DNS解析错误、网络设置错误等。

六、应用程序错误日志应用程序错误日志记录了应用程序运行过程中的错误信息。

它可以帮助用户定位和修复应用程序的错误。

例如，当一个应用程序发生未处理的异常时，应用程序错误日志会记录异常的详细信息，包括错误代码、异常堆栈等。

七、硬件故障日志硬件故障日志记录了系统硬件设备发生故障的事件和错误信息。

Windows系统中的系统日志和错误报告分析在Windows操作系统中，系统日志和错误报告是非常重要的工具，它们可以记录和提供有关系统运行状况的详细信息，帮助用户分析和解决各种问题。

本文将详细介绍Windows系统中的系统日志和错误报告，并解释如何分析它们以便有效地定位和解决故障。

一、系统日志系统日志是一种记录和存储系统事件的功能，它包含了系统启动、关机、硬件故障、驱动程序问题、应用程序错误等多种类型的事件。

通过查看系统日志，用户可以及时发现并解决潜在的问题，提高系统的稳定性和可靠性。

Windows系统中的系统日志分为三类：应用程序日志、安全日志和系统日志。

应用程序日志存储与应用程序相关的事件和错误信息，安全日志用于记录安全相关的事件，而系统日志则包含与操作系统本身有关的事件和错误。

要查看系统日志，用户可以按下Win键+R键，打开运行对话框，输入eventvwr.msc命令，然后在事件查看器中选择相应的日志类型。

通过筛选和查找功能，用户可以根据日志的事件ID、级别和来源等信息找到特定的日志记录。

二、错误报告错误报告是一种Windows系统自动生成的记录故障信息的工具，它可以收集有关应用程序和系统崩溃的详细数据，并发送给Microsoft进行分析和提供解决方案。

错误报告能够帮助用户追踪和解决应用程序或系统崩溃的原因。

当应用程序或系统崩溃时，Windows系统会自动弹出错误报告对话框，用户可以选择发送错误报告给Microsoft或不发送。

如果用户选择发送错误报告，相关的错误信息将被记录并匿名上传，用于改进Windows系统的稳定性和性能。

用户也可以主动查看错误报告，方法是打开控制面板并选择“问题报告和解决”选项。

在问题报告和解决窗口中，用户可以查看已发送的错误报告以及与之相关的解决方案。

三、系统日志和错误报告的分析系统日志和错误报告的分析是解决Windows系统问题的重要步骤。

通过仔细分析日志和错误报告，用户可以找到问题的源头，并采取相应的措施进行修复或优化。

Windows系统专家教你如何设置和管理系统日志在使用Windows操作系统时，系统日志是非常重要的一部分。

它记录了系统的运行状态、错误信息以及其他相关信息，能够帮助用户诊断和解决系统问题。

本文将向大家介绍如何设置和管理Windows系统日志，以帮助您更好地监控和维护您的计算机。

一、什么是系统日志系统日志是Windows操作系统中的一个重要组成部分，用于记录操作系统和应用程序的事件和错误信息。

它包含了以下三个主要日志类型：1. 应用程序日志（Application log）：记录应用程序的事件和错误信息，如软件的安装和卸载、应用程序崩溃等。

2. 安全日志（Security log）：记录安全事件和审计信息，如用户登录和注销、账户访问权限等。

3. 系统日志（System log）：记录与操作系统相关的事件和错误信息，如设备驱动程序错误、系统崩溃等。

二、设置系统日志在Windows系统中，您可以根据实际需求设置系统日志的属性和策略。

下面是设置系统日志的步骤：1. 打开“事件查看器”（Event Viewer）：点击“开始”菜单，然后在搜索栏中输入“事件查看器”，并打开该程序。

2. 选择日志类型：在左侧面板中，展开“Windows日志”文件夹，可以看到应用程序日志、安全日志和系统日志三个选项。

3. 添加或删除日志事件：在选中的日志类型下，右键点击空白区域，选择“属性”或“清除日志”选项来设置日志属性或删除日志事件。

4. 配置事件筛选器：点击相应日志类型下的“事件筛选器”菜单，可以根据关键词、事件ID等条件来过滤和筛选所需的日志事件。

5. 设置日志存档：点击相应日志类型下的“存档日志”菜单，可以设置日志事件的存储位置和保留策略，以便将来查看和分析。

三、管理系统日志除了设置系统日志的属性，管理系统日志也是非常重要的一项任务。

下面是一些管理系统日志的技巧：1. 定期查看日志：定期浏览系统日志，注意查找和分析其中的错误和警告信息，及时采取措施解决相关问题。

Windows操作系统日志安全的防范手段及设想作者：刘桂英来源：《硅谷》2009年第20期[摘要]Window操作系统日志记录系统运行的状态，通过分析操作系统日志，可以实现对操作系统的实时监控，达到入侵防范的目的。

目前保护操作系统日志的手段都存在一定的安全缺陷。

为弥补这些安全缺陷，首先阐述系统日志安全通常包含哪几方面，然后分析现有系统日志安全的不足，主要讲述黑客如何通过提高权限来清除日志，最后提出系统安全的保护措施及防范手段及设想。

[关键词]Windows操作系统日志日志安全日志分析系统安全保护措施中图分类号：TP3文献标识码：A文章编号：1671—7597(2009)1020114--01操作系统日志是操作系统为系统应用提供的一项审计服务，这项服务在系统应用提供的文本串形式的信息前面添加应用运行的系统名、时戳、事件ID及用户等信息，然后进行本地或远程归档处理、但是操作系统日志并不安全，一些Windows的系统日志很容易被黑客篡改或清除，不过操作系统日志很容易使用，许多安全类工具都使用它作为自己的日志数据。

操作系统日志分析器能够将大量的系统日志信息经过提取并处理得到能够让管理员识别的可疑行为记录，然后日志分析器可以扩展成为一个计算机监控系统并且能实时地对可疑行为进行动态的响应。

为了保证日志分析器的正常判断，系统日志的安全就显得异常重要，这就需要从各方面去保证日志的安全性，系统日志安全通常与三个方面相关，简称为“CIA”：1、保密性(Confidentiality)：使信息不泄露给非授权的个人、实体或进程，不为其所用。

2、完整性(Integrity)：数据没有遭受以非授权方式所作的篡改或破坏。

3、确认性(Accountability)；确保一个实体的作用可以被独一无二地跟踪到该实体。

一、操作系统日志完整性检查和一致性检查的安全方法对操作系统日志的完整性检查和一致性检查可以从以下五个小的方面进行分析判断日志是否保持完整性和一致性：1、原始日志的结构与操作系统设置的形式结构不相符合的。

Windows 系统日志文件的保护、备份和分析Windows系统以它的易用性倍受网管员的青睐，国内相当部分的大型网站都是用Windows 2000/XP系统建立的。

Windows系统使用的人多了，研究它安全的人也多了。

在此我要提醒一下网管们，虽然你补上了所有的安全补丁，但是谁又知道新的漏洞何时又会被发现呢？所以也应该做好系统日志的保护工作。

作为黑客，他们也是最关心系统日志的，一旦他们入侵成功，要做的第一件事就是删除你的日志文件，使你在被入侵后无法追踪黑客行为，以及检查黑客所做的操作行为。

日志文件就像飞机中的“黑匣子”一样重要，因为里面保存着黑客入侵行为的所有罪证。

日志的移位与保护Windows 2000的系统日志文件包括：应用程序日志、安全日志、系统日志、DNS服务日志，以及FTP连接日志和HTTPD日志等。

在默认情况下日志文件大小为512KB，日志保存的默认的位置如下：安全日志文件：%systemroot%\system32\config \SecEvent.EVT系统日志文件：%systemroot%\system32\config \SysEvent.EVT应用程序日志文件：%systemroot%\system32\config \AppEvent.EVTFTP连接日志和HTTPD事务日志：%systemroot% \system32\LogFiles\，下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。

在此笔者把系统默认为.EVT扩展名的日志文件统称为事件日志，笔者看了好多文章介绍对事件日志移位能做到很好的保护。

移位虽是一种保护方法，但只要在命令行输入dirc:\*.evt/s（如系统安装在D盘，则盘符为D），一下就可查找到事件日志位置。

日志移位要通过修改注册表来完成，我们找到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog位置，下面的Application、Security、System几个子键，分别对应“应用程序日志”、“安全日志”、“系统日志”。

Windows事件日志详解windows 安全日志时，经常发现登录类型的值不同。

有2，3，5，8等。

最常见的类型是 2 (交互式)和 3 (网络)。

下面详细列出了可能的登录类型值登录类型2：交互式登录（Interactive）这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录。

登录类型3：网络（Network）当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。

另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。

成功的网络登录:用户名:域:登录ID: (0x2,0xFC38EC05)登录类型: 3登录过程: NtLmSsp身份验证数据包: NTLM工作站名: 098B11CAF05E4A0登录GUID: -调用方用户名: -调用方域: -调用方登录ID: -调用方进程ID: -传递服务: -源网络地址: 192.168.197.35源端口: 0调用方进程名称: %16登录类型4：批处理（Batch）当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。

登录类型5：服务（Service）与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

Windows事件日志简要解析简介：Windows系统内置三个核心日志文件：System、Security、Application，默认大小均为20480kB也就是20MB，记录数据超过20MB时会覆盖过期的日志记录；其他的应用程序以及服务日志默认大小均为1MB，超过这个大小一样的处理方法。

日志类型：事件类型注释信息（Information）指应用程序、驱动程序、或服务的成功操作事件警告（Warning）警告事件不是直接的、主要的，但是会导致将来问题的发生错误（Error）指用户应该知晓的重要问题成功审核（Success Audit）主要指安全性日志，记录用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录事件失败审核（FailureAudit）失败的审核安全登录尝试事件日志文件类型：类别类型描述文件名Windows 日志系统包含系统进程，设备磁盘活动等。

事件记录了设备驱动无法正常启动或停止，硬件失败，重复IP地址，系统进程的启动，停止及暂停等行为。

System.evtxWindows 日志安全包含安全性相关的事件，如用户权限变更，登录及注销，文件及文件夹访问，打印等信息。

Security.evtxWindows 日志应用程序包含操作系统安装的应用程序软件相关的事件。

事件包括了错误、警告及任何应用程序需要报告的信息，应用程序开发人员可以决定记录哪些信息。

Application.evtx应用程序及服务日志Microsoft Microsoft文件夹下包含了200多个微软内置的事件日志分类，只有部分类型默认启用记录功能，如远程桌面客户端连接、无详见日志存储目录对应文件类别类型描述文件名线网络、有线网路、设备安装等相关日志。

应用程序及服务日志MicrosoftOfficeAlters微软Office应用程序（包括Word/Excel/PowerPoint等）的各种警告信息，其中包含用户对文档操作过程中出现的各种行为，记录有文件名、路径等信息。