WIN+R打开运行框,运行eventvwr.msc命令,打开事件查看器
查看windows 日志,分析windows 日志时, 主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。
事件ID是区分系统事件的一个重要字段,在事件查看器中可以通过事件ID筛选日志
以4624(登陆成功)事件为例,看一下日志信息:
查看系统登录日志时,重点关注以下字段信息。事件ID:4624(登录成功)和4625(登录失败)。
登录类型:根据登录类型分析登录操作来源。
账户名:登录操作时使用的账户名。
源网络地址:登录操作来源IP。
进程信息:登录操作调用的进程。
本文链接:https://blog.runxinyun.com/post/365.html 转载需授权!
版权声明
网站名称: 润信云资讯网 本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。 不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。 我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!邮件:7104314@qq.com 网站部分内容来源于网络,版权争议与本站无关。请在下载后的24小时内从您的设备中彻底删除上述内容。 如无特别声明本文即为原创文章仅代表个人观点,版权归《润信云资讯网》所有,欢迎转载,转载请保留原文链接。
留言0