Windosw审计日志-windows server 排错-windows日志

  1. 以下是windows日志相关常用概念:
  2. 事件查看器高效过滤事件日志

🌸 今天有个应用挂掉了,用户找过来,简单看一下像权限问题,将用户加到本地管理员组,问题解决。

​ 虽然问题解决了,但问题只是刚开始。大家为了帅锅,需要找出根本原因。所以我需要找出谁把权限删除了,因为原来一直是可以的。

windows日志还是记录很详细的,哪个账号哪个时间操作的。

4733(S) A member was removed from a security-enabled local group. - Windows Security | Microsoft Learn

以下是windows日志相关常用概念:

概念 解释
Event Log 事件日志,用于记录Windows系统中的事件信息
Application Log 应用程序日志,记录应用程序事件
Security Log 安全日志,记录安全相关事件,如登录失败等
System Log 系统日志,记录系统事件,如驱动安装等
Event ID 事件ID,每个日志事件的唯一标识
Event Source 事件源,产生日志的应用程序、组件等
Event Type 事件类型,如信息、警告、错误等
Event Category 事件类别,描述事件的类别,如数据库相关等
Event Data 事件数据,事件的详细信息
Log File 日志文件,存储日志记录的文件
Log Level 日志级别,事件的严重程度,如Verbose、Info、Warning、Error等
ETW Event Tracing for Windows,用于跟踪Windows事件
Event Log Service 事件日志服务,管理日志记录服务
Event Viewer 事件查看器,查看Windows日志的工具
Log Rotation 日志轮换,定期归档日志文件
Log Archive 日志存档,已轮换的日志文件
Log Retention 日志保留,日志文件的保存策略
Log Truncation 日志截断,删除过期日志
Log Corruption 日志损坏,日志文件数据错误
Log Parsing 日志解析,从日志中提取信息
Log Monitoring 日志监控,实时查看和分析日志
Syslog 系统日志协议,用于汇聚日志
Log Forwarding 日志转发,将日志发送到其他系统
Log Shipping 日志传送,将日志定期复制到远程服务器
Log Analysis 日志分析,利用日志数据进行统计、查询、分析等
Log Management 日志管理,对日志进行收集、存储、监控、分析等管理
SIEM Security Information and Event Management系统,关联并分析安全日志数据
Logstash 开源的日志收集工具
Splunk 日志分析平台
Graylog 开源日志管理系统
Elastic Stack Elastic公司的日志分析解决方案套件
Windows Event Forwarding 将Windows日志转发到SIEM或其他服务器
PowerShell Logging 使用PowerShell进行日志管理
Wevtutil Windows日志命令行管理工具
Get-WinEvent PowerShell获取Windows事件日志的cmdlet
Set-WinEvent PowerShell配置Windows事件日志的cmdlet
Export-Csv PowerShell导出事件日志到CSV文件的cmdlet

事件查看器高效过滤事件日志

  1. 根据事件ID过滤,例如只查看ID为4624的登录成功事件。
  2. 根据事件级别过滤,只查看错误或关键警告事件。
  3. 根据事件源过滤,如只查看来自SQL Server的事件。
  4. 使用包含/不包含关键词过滤事件描述信息。
  5. 设置开始结束时间范围进行过滤。
  6. 组合多个条件进行复杂过滤,如源+ID+级别等。
  7. 保存常用的自定义视图,方便重新应用过滤。
  8. 使用“查找”功能搜索特定字符串快速定位事件。
  9. 把结果保存为XML文件进行外部处理。
  10. 使用PowerShell提取日志信息,进行复杂排序、统计等分析。

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 xieaoao@qq.com QQ:1296454177

×

喜欢就点赞,疼爱就打赏