🌸 今天有个应用挂掉了,用户找过来,简单看一下像权限问题,将用户加到本地管理员组,问题解决。
虽然问题解决了,但问题只是刚开始。大家为了帅锅,需要找出根本原因。所以我需要找出谁把权限删除了,因为原来一直是可以的。
windows日志还是记录很详细的,哪个账号哪个时间操作的。
以下是windows日志相关常用概念:
概念 | 解释 |
---|---|
Event Log | 事件日志,用于记录Windows系统中的事件信息 |
Application Log | 应用程序日志,记录应用程序事件 |
Security Log | 安全日志,记录安全相关事件,如登录失败等 |
System Log | 系统日志,记录系统事件,如驱动安装等 |
Event ID | 事件ID,每个日志事件的唯一标识 |
Event Source | 事件源,产生日志的应用程序、组件等 |
Event Type | 事件类型,如信息、警告、错误等 |
Event Category | 事件类别,描述事件的类别,如数据库相关等 |
Event Data | 事件数据,事件的详细信息 |
Log File | 日志文件,存储日志记录的文件 |
Log Level | 日志级别,事件的严重程度,如Verbose、Info、Warning、Error等 |
ETW | Event Tracing for Windows,用于跟踪Windows事件 |
Event Log Service | 事件日志服务,管理日志记录服务 |
Event Viewer | 事件查看器,查看Windows日志的工具 |
Log Rotation | 日志轮换,定期归档日志文件 |
Log Archive | 日志存档,已轮换的日志文件 |
Log Retention | 日志保留,日志文件的保存策略 |
Log Truncation | 日志截断,删除过期日志 |
Log Corruption | 日志损坏,日志文件数据错误 |
Log Parsing | 日志解析,从日志中提取信息 |
Log Monitoring | 日志监控,实时查看和分析日志 |
Syslog | 系统日志协议,用于汇聚日志 |
Log Forwarding | 日志转发,将日志发送到其他系统 |
Log Shipping | 日志传送,将日志定期复制到远程服务器 |
Log Analysis | 日志分析,利用日志数据进行统计、查询、分析等 |
Log Management | 日志管理,对日志进行收集、存储、监控、分析等管理 |
SIEM | Security Information and Event Management系统,关联并分析安全日志数据 |
Logstash | 开源的日志收集工具 |
Splunk | 日志分析平台 |
Graylog | 开源日志管理系统 |
Elastic Stack | Elastic公司的日志分析解决方案套件 |
Windows Event Forwarding | 将Windows日志转发到SIEM或其他服务器 |
PowerShell Logging | 使用PowerShell进行日志管理 |
Wevtutil | Windows日志命令行管理工具 |
Get-WinEvent | PowerShell获取Windows事件日志的cmdlet |
Set-WinEvent | PowerShell配置Windows事件日志的cmdlet |
Export-Csv | PowerShell导出事件日志到CSV文件的cmdlet |
事件查看器高效过滤事件日志
- 根据事件ID过滤,例如只查看ID为4624的登录成功事件。
- 根据事件级别过滤,只查看错误或关键警告事件。
- 根据事件源过滤,如只查看来自SQL Server的事件。
- 使用包含/不包含关键词过滤事件描述信息。
- 设置开始结束时间范围进行过滤。
- 组合多个条件进行复杂过滤,如源+ID+级别等。
- 保存常用的自定义视图,方便重新应用过滤。
- 使用“查找”功能搜索特定字符串快速定位事件。
- 把结果保存为XML文件进行外部处理。
- 使用PowerShell提取日志信息,进行复杂排序、统计等分析。
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 xieaoao@qq.com QQ:1296454177