Windows event log là gì

Chào phần nhiều bạn, ni ngồi rảnh gõ mấy dòng giữ gìn sau đề xuất tìm kiếm mang đến nhanh khô, hoàn toàn có thể các lên tiếng không đủ sót mà lại phần đa báo cáo này mình đã có lần thao tác cùng với nó.

Bạn đang xem: Windows event log là gì

Loạt bài bác này bản thân đang viết một không nhiều bài xích về Điều tra vi phạm ANTT, chạm mặt loại làm sao viết loại kia và đã đi nhàn rỗi. Bài này còn có tham khảo (dịch thuật) tất cả tổng vừa lòng kinh nghiệm + chỗ khác về "Windows Event Log Analysis" tạm dịch là "Kỹ thuật so sánh Event Log bên trên Windows", bản cội tại đây: https://www.appliedincidentresponse.com/windows-event-log-analyst-reference/


*

Hình 01 - Giao diện của Event Log bên trên Windows

Trước hết trình làng về Event Log bên trên Windows thì nó là vị trí nhưng mà hồ hết chuyển động bên trên máy tính được lưu lại, ví dụ như ai đăng nhập vào sản phẩm công nghệ, singin thời gian làm sao, đang hoạt động tiến trình gì, liên kết đi đâu,...phần lớn được giữ giàng. Đây cũng chính là hầu như thắc mắc thường xuyên chạm mặt trong sự việc khảo sát truy vệt (thuật ngữ siêng ngành hotline là forensic).

Một số log được bật (enabled) lên theo thông số kỹ thuật mang định của Windows, một số lại không được bât lên (disabled) rất có thể vì log ghi ra rất nhiều khiến chiếm phần tài nguyên hệ thống. Ví dụ nlỗi log đăng nhập, kết nối thì được enabled mặc định còn log cắm thiết bị ngoại vi qua Output USB thì lại bị disabled. Để bật lên những bạn có thể cấu hình vào registry của hệ quản lý.

Mình sẽ tổng hợp một trong những câu chữ sau:

1. Định dạng cấu tạo của Event Log.

2. Một số log hay gặp mặt - định danh qua ID (có bổ sung cập nhật dần).

Nội dung đưa ra tiết:

1. Định dạng cấu trúc của sự kiện log:

Event Log của Windows được lưu trữ ở thư mục khoác định trên đường truyền %SystemRoot%System32winevtlogs, các chúng ta có thể truy cập vào trực tiếp đường dẫn hoặc nhìn qua trình Event Viewer, để nhảy trình Event Viewer chúng ta có thể vào RUN gõ keyword "eventvwr".

Cấu trúc của log tất cả các trường sau:


*

Hình 01 - Các trường trong Event Log
*

*

*

Hình 04 - Các Event ID tương quan singin, singout tài khoản

2.3) Event về truy vấn nói qua folder/object: khoác định log này sẽ không được giữ, để bật log này chúng ta truy cập vào "Group Policy Management" nhằm sửa đổi (vào RUN gõ gpedit.msc để msinh sống Group Policy), băng thông cấu hình: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> phân tích và đo lường Policies -> Object Access -> phân tích và đo lường File Share.

Các Event ID cho Object Sharing gồm ID tự 5140 mang lại 5145.

2.4) Event về Scheduled Task: các sự kiện tương quan cho lập kế hoạch.


Hình 05 - Các Event ID tương quan Scheduled Task bên trên Windows

2.5) Event về quản lý chế độ (policy audit): sinh ra khi những biến hóa policy bên trên máy tính.

Event ID liên quan về policy bao gồm ID là 11024719.

2.6) Event về những hình thức trên windows (windows service): sinh ra Lúc liên quan những dịch vụ chạy trên windows, mặc định không được enabled, mong mỏi cấu hình các bạn vào GPO update theo đường truyền sau "Windows Settings > Security Settings > Advanced phân tích và đo lường Policy Configuration > System Audit Policies > System > phân tích và đo lường Security System Extension".

Xem thêm: Cách Dùng Cây Lược Vàng Chữa Viêm Họng Bằng Lược Vàng, Có Thực Sự Hiệu Quả? ?

Nếu OS là Windows 10 và Server 2016/2019 thì Event ID là 4697 làm việc mục Security Event Log.


Hình 06 - Các Event ID liên quan dịch vụ điều khiển xe trên Windows (Windows Services)

2.7) Event về LAN, Wireless: sinh ra lúc liên quan mang đến những kết nối mạng.


Hình 07 - Các Event ID tương quan liên kết mạng LAN, Wireless trên Windows

2.8) Event về tiến trình (process audit): tương quan các quy trình bên trên windows. Mặc định log này sẽ không được bât, nhằm cấu hình chúng ta vào chỉnh trong Group Policy theo dường dẫn sau "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> phân tích và đo lường Policy -> Audit process tracking".


Hình 08 - Các Event ID liên quan làm chủ các bước bên trên Windows

2.9) Event về Windows Filtering Platsize (WFP): thường chạm chán Lúc tất cả ứng dụng điều khiển xe trên vật dụng bị block/accept nhỏng firewall.

Cái này đặc trưng Khi khảo sát coi tiến trình như thế nào sẽ liên kết ra C2 nào.


Hình 09 - Các Event ID liên quan liên kết trên máy vi tính Windows

2.9) Event về tiến hành chương trình (exexinh tươi program): một vài event hay chạm chán lúc khảo sát về những tiến trình lạ được xúc tiến tương quan mang đến các action của Windows Defender.


Hình 10 - Các Event ID liên quan action của Windows Defender

2.10) Event về PowerShell: giữ giàng các sự kiện lúc powershell được Hotline ra cùng tiến hành câu lệnh. Log này mang định không được enabled, để enabled log ta vào Group Policy cấu hình đường truyền sau "Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell".

Event ID của powershell được filter qua 02 ID là 41034104.

Còn tiếp tục update...

Trên phía trên mình tổng hợp một trong những lên tiếng về Event Log, nhằm chi tiết minh hoạ hơn về các trường đúng theo hay chạm mặt nhằm cách xử trí, truy nã vết sự cố gắng, bản thân sẽ update ứng cùng với các nội dung bài viết vào loạt bài bác "Điều tra vi phạm luật ANTT".

Xem thêm: Cách Cài Tốc Độ Con Trỏ Trượt Trên Iphone Là Gì Để Tăng Tốc Cho Iphone

Mình dịch thuật cùng update biết tin hoàn toàn có thể không chính xác hay không giống với OS / phiên bản, chúng ta góp ý góp tại phần phản hồi nhé.


Chuyên mục: Hỏi Đáp