Server 2008 R2 事件查看器实现日志分析 下载本文

Server 2008 R2 事件查看器实现日志分析

在 windows server 2008 R2 中,可以通过点击 \开始\管理工具\事件查看器\,来打开并查看各种类型的系统内置日志记录;让我们来做一个实际练习:使用事件查看器检查各种帐户的登录事件,包括系统内置的特殊帐户,以及大家熟悉的 administrator 管理员帐户。

一般而言,在启动服务器后,一个叫做 winlogon.exe 的进程会先以 NT AUTHORITY\\SYSTEM (帐户域\\帐户权限)登录,然后

进入要求用户键入 ctrl + alt + del 并输入帐密的登录界面,此时,winlogon.exe 检查并验证用户的输入,通常的做法是将用户键入的密码以某种哈希算法生成密文,将其与 SAM 数据库文件中的密文进行比对,如果一致则该账户通过验证并登录,然后赋予相应的权限。

所有这些过程都会被记录进系统内置的\安全\类型日志,可以通过事件查看器浏览; 除了 winlogon.exe 进程外,其它一些系统进程也会在用户登录前,使用特殊帐户先行登录。这些登录事件同样可以在事件查看器中一览无遗,

(例如,一个叫做 services.exe 的系统服务进程,使用 NT AUTHORITY\\SYSTEM (帐户域\\帐户权限)登录,然后它会创建数个 svchost.exe子进程,而每个 svchost.exe 进程都会启动并纳宿一些基本的 windows 服务,而许多用户空间的应用程序将使用这些服务,实现它们的功能)

下面结合图片讲解事件查看器在这两个场景中的应用:

一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 \日志\节点,选取\安全\项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近 24 小时以内的帐户登录与验证,审核,权力指派等事件,可以在\安全\项目上右击鼠标,在弹出的上下文菜单中选择\筛选当前日志(L)\

二,在打开的对话框中,切换到\筛选器\标签,在\记录时间(G)\右侧的下拉列表中,选择\近 24 小时\然后点击下方的确定按钮

三,显示出筛选的结果,下面这张图显示了在 24 小时内纪录的 73 项安全事件(Microsoft Windows 安全审核是准确的称呼),你可以按照日期与时间列排序事件,或者按照事件ID,任务类别(我觉得翻译成事件类别会比较好理解)来排序时间,

我们关注的是\登录\与\特殊登录\事件,因此需要选择以任务类别排序.

下图中没有按照任务类别排序,而是默认按照日期与时间排序,其优点是,可以追踪在系统启

动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.