windows系統(tǒng)中可以通過什么進行系統(tǒng)日志的審計

WindowsNT/2000的系統(tǒng)日志文件有應用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系統(tǒng)日志SysEvent.Evt，根據(jù)系統(tǒng)開通的服務還會產(chǎn)生相應的日志文件。例如，DNS服務器日志DNS Serv.evt，F(xiàn)TP日志、WWW日志等。

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供堆龍德慶網(wǎng)站建設、堆龍德慶做網(wǎng)站、堆龍德慶網(wǎng)站設計、堆龍德慶網(wǎng)站制作等企業(yè)網(wǎng)站建設、網(wǎng)頁設計與制作、堆龍德慶企業(yè)網(wǎng)站模板建站服務，10多年堆龍德慶做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡服務。

日志文件默認存放位置：%systemroot%\system32\config，默認文件大小512KB。這些日志文件在注冊表中的位置為HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，可以修改相應鍵值來改變?nèi)罩疚募拇娣怕窂胶痛笮　?/p>

概述

查看系統(tǒng)日志方法：開始→設置→控制面板→管理工具中找到的“事件查看器”，或者在【開始】→【運行】→輸入 eventvwr.msc 也可以直接進入“事件查看器”在“事件查看器”當中的系統(tǒng)日志中包含了windows XP 系統(tǒng)組建記錄的事件，在啟動過程中加載驅(qū)動程序和其他一些系統(tǒng)組建的成功與否都記錄在系統(tǒng)日志當中。

windows系統(tǒng)怎樣部署日志審計系統(tǒng)

微軟系統(tǒng)中任何關(guān)于如何限制或控制管理員權(quán)限的討論通常都會得到這樣的結(jié)果：你怎樣才能不把管理權(quán)限送給那些你不信任的人?這有一定道理，但是在沒有證據(jù)表明管理員做錯了事情的情況下，如何才能正確判斷一個管理員是否值得信任呢?再者，你如何證明你的判斷呢?你不能剝奪一個域管理員太多權(quán)限，尤其是在每個域都要管理的多網(wǎng)域環(huán)境下，所以說有時候限制管理員的權(quán)利和授權(quán)活動這項工作很難實現(xiàn)。輔助人員和供給人員通常也需要具有管理權(quán)利，而且有時政治需求還會需要更多的管理人員。所以，真正的問題是，你如何去審計一個管理員?雖然答案是只要啟用審計就行了，但是只是簡單地啟用審計功能并不能解決所有的問題。舉例來說，我最近與許多管理員一起進行了一項大型的活動目錄部署活動。他們有一個應用程序，使用特定的用戶對象屬性提供對該應用程序的連接。站在安全相關(guān)立場，他們發(fā)現(xiàn)管理員可以禁用審計功能，修改一些關(guān)鍵的屬性，并且可以對該應用程序做壞事。然后該管理員可以重新啟用審計功能而不會被覺察---甚至WindowsServer2008R2的屬性審計功能也是如此。啟用審計功能的時候，系統(tǒng)可以記錄足夠的事件，從中可以看出誰改變了對象，以及誰改變了屬性。但是由于審計功能被禁用，所有這方面的證據(jù)都消失了。

windows系統(tǒng)中的審計日志包括哪些

一．Windows日志系統(tǒng) WindowsNT/2000的系統(tǒng)日志文件有應用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系統(tǒng)日志SysEvent.Evt，根據(jù)系統(tǒng)開通的服務還會產(chǎn)生相應的日志文件。例如，DNS服務器日志DNS Serv.evt，F(xiàn)TP日志、WWW日志等。日志文件默認存放位置：%systemroot%\system32\config，默認文件大小512KB。這些日志文件在注冊表中的位置為HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，可以修改相應鍵值來改變?nèi)罩疚募拇娣怕窂胶痛笮　?/p>

Windows NT/2000主要有以下三類日志記錄系統(tǒng)事件：應用程序日志、系統(tǒng)日志和安全日志。

1．應用程序日志

記錄由應用程序產(chǎn)生的事件。例如，某個數(shù)據(jù)庫程序可能設定為每次成功完成備份后都向應用程序日志發(fā)送事件記錄信息。應用程序日志中記錄的時間類型由應用程序的開發(fā)者決定，并提供相應的系統(tǒng)工具幫助用戶查看應用程序日志。

2．系統(tǒng)日志

記錄由WindowsNT/2000操作系統(tǒng)組件產(chǎn)生的事件，主要包括驅(qū)動程序、系統(tǒng)組件和應用軟件的崩潰以及數(shù)據(jù)丟失錯誤等。系統(tǒng)日志中記錄的時間類型由Windows NT/2000操作系統(tǒng)預先定義。

3．安全日志

記錄與安全相關(guān)的事件，包括成功和不成功的登錄或退出、系統(tǒng)資源使用事件(系統(tǒng)文件的創(chuàng)建、刪除、更改)等。與系統(tǒng)日志和應用程序日志不同，安全日志只有系統(tǒng)管理員才可以訪問。在WindowsXP中，事件是在系統(tǒng)或程序中發(fā)生的、要求通知用戶的任何重要事情，或者是添加到日志中的項。事件日志服務在事件查看器中記錄應用程序、安全和系統(tǒng)事件。通過使用事件查看器中的事件日志，用戶可以獲取有關(guān)硬件、軟件和系統(tǒng)組件的信息，并可以監(jiān)視本地或遠程計算機上的安全事件。事件日志可幫助您確定和診斷當前系統(tǒng)問題的根源，還可以幫助用戶預測潛在的系統(tǒng)問題。WindowsNT/2000的系統(tǒng)日志由事件記錄組成。每個事件記錄為三個功能區(qū)：記錄頭區(qū)、事件描述區(qū)和附加數(shù)據(jù)區(qū)，表14-3-1描述了事件記錄的結(jié)構(gòu)。

可從以下哪幾方面審計windows系統(tǒng)是否存在后門

1、可以從查看服務信息審計。

2、可以從查看驅(qū)動信息審計。

3、可以從查看注冊表鍵值審計。

4、可以從查看系統(tǒng)日志審計等方面審計。

如何使用LC工具審計windows賬戶

LC工具不是審計工具，所以是無法進行賬戶的審計的。

LC工具是安裝于Windows操作系統(tǒng)的電腦，用于打印機打印各類標簽編碼的軟件。并可以用于審計。

“Microsoft帳戶”（也稱“微軟賬戶”，英文"MicrosoftAccount"）是以前的“WindowsLiveID”的新名稱。你的Microsoft帳戶是你用于登錄Outlook、OneDrive、WindowsPhone或XboxLive等服務的電子郵件地址和密碼的組合。

Wazuh功能——審計 who-data

審核who-data

新版本3.4.0。

從3.4.0版本開始，Wazuh集成了一項新功能，可以從監(jiān)控文件中獲取who-data。

此信息包含對監(jiān)控文件進行更改的用戶，以及用于執(zhí)行這些更改的程序名或進程。

一、在Linux中審計who-data

who-data監(jiān)視功能使用Linux審計子系統(tǒng)獲取關(guān)于誰在監(jiān)視目錄中進行了更改的信息。這些更改產(chǎn)生審計事件，這些審計事件由syscheck處理并報告給經(jīng)理。

1、配置

首先，我們需要檢查審計守護進程是否安裝在我們的系統(tǒng)中。

在基于RedHat的系統(tǒng)中，Auditd通常是默認安裝的。如果沒有安裝，我們需要使用以下命令進行安裝:

# yum install audit

對于基于Debian的系統(tǒng)，請使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我們的ossec.conf文件的所選文件夾中啟用whodata監(jiān)視:

添加此配置后，我們需要重新啟動Wazuh來應用更改。

我們可以檢查是否應用了用于監(jiān)視所選文件夾的審計規(guī)則。要檢查這一點，我們需要執(zhí)行以下命令

# auditctl -l | grep wazuh_fim

并檢查是否添加了規(guī)則

當代理停止時，我們可以使用相同的命令檢查添加的規(guī)則是否已成功刪除。

2、警報字段

當啟用whodata時，在FIM警報中接收到以下字段:

3、警報的例子

在下面的示例中，我們可以看到用戶Smith是如何向文件/etc/hosts.添加新IP的允許使用具有sudo權(quán)限的nano編輯器:

日志格式警告:

JSON格式的警告:

二、在Windows中審計who-data

1、它是如何工作的

who-data監(jiān)視功能使用Microsoft Windows審計系統(tǒng)獲取關(guān)于誰在監(jiān)視目錄中進行了更改的信息。這些更改產(chǎn)生審計事件，這些審計事件由syscheck處理并報告給管理者。兼容大于Windows Vista的系統(tǒng)。

2、配置

要在whodata模式下啟動監(jiān)視，必須正確配置要監(jiān)視的目錄的SACL。Wazuh在啟動ossec.conf文件中標記whodata="yes"的目錄時自動執(zhí)行此任務:

系統(tǒng)審計策略也需要正確配置。對于大多數(shù)受支持的Windows系統(tǒng)，這部分也是自動完成的。如果您的系統(tǒng)優(yōu)于Windows Vista，但審計策略無法自配置，請參閱配置本地審計策略指南。

三、警報字段

啟用whodata時，將收到以下字段:

四、警報的例子

日志格式警告:

JSON格式的警告:

網(wǎng)站欄目：包含windows審計系統(tǒng)的詞條
網(wǎng)站路徑：http://chinadenli.net/article0/hddgio.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供自適應網(wǎng)站、App設計、企業(yè)建站、搜索引擎優(yōu)化、云服務器、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)