WINDOWS EVENT LOG LÀ GÌ

Chào rất nhiều bạn, ni ngồi rhình họa gõ mấy cái giữ gìn sau đề nghị tìm kiếm cho nkhô nóng, rất có thể những công bố còn thiếu sót cơ mà đa số thông báo này mình đã có lần thao tác cùng với nó.

Bạn đang xem: Windows event log là gì

Đang xem: Windows event log là gì

Loạt bài này mình vẫn viết một ít bài xích về Điều tra vi phạm luật ANTT, gặp mẫu nào viết chiếc kia và đang đi rảnh rỗi. Bài này có xem thêm (dịch thuật) gồm tổng hợp kinh nghiệm tay nghề + chỗ khác về “Windows Event Log Analysis” tạm bợ dịch là “Kỹ thuật so với Event Log trên Windows”, phiên bản cội trên đây: https://www.appliedincidentresponse.com/windows-event-log-analyst-reference/

*
*
*
*
Hướng Dẫn Sử Dụng Event Viewer Trên Windows Event Log Là Gì, Điều Tra Windows Server Bị Tấn Công 10

Hình 04 – Các Event ID tương quan đăng nhập, đăng xuất tài khoản

2.3) Event về truy vấn share folder/object: mặc định log này sẽ không được lưu, để bật log này bạn truy vấn vào “Group Policy Management” để sửa đổi (vào RUN gõ gpedit.msc nhằm msinh sống Group Policy), đường truyền cấu hình: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced phân tích và đo lường Policy Configuration -> Audit Policies -> Object Access -> Audit File Share.

Các Event ID cho Object Sharing bao gồm ID trường đoản cú 5140 đến 5145.

2.4) Event về Scheduled Task: những sự kiện liên quan đến lập lịch.

Hình 05 – Các Event ID tương quan Scheduled Task trên Windows

2.5) Event về cai quản cơ chế (policy audit): xuất hiện lúc những biến đổi policy bên trên máy tính.

Event ID tương quan về policy gồm ID là 1102 với 4719.

2.6) Event về những dịch vụ trên windows (windows service): hình thành Lúc liên quan các dịch vụ chạy xe trên windows, khoác định không được enabled, ước ao thông số kỹ thuật các bạn vào GPO cập nhật theo đường truyền sau “Windows Settings > Security Settings > Advanced phân tích và đo lường Policy Configuration > System phân tích và đo lường Policies > System > Audit Security System Extension”.

Nếu OS là Windows 10 cùng Server 2016/2019 thì Event ID là 4697 ngơi nghỉ mục Security Event Log.

Hình 06 – Các Event ID liên quan các dịch vụ điều khiển xe trên Windows (Windows Services)

2.7) Event về LAN, Wireless: hình thành Khi liên quan đến những liên kết mạng.

Xem thêm: Chế Độ Trò Chơi Trong Windows 10 Creators Là Gì, Những Tính Năng Mới Của Windows 10 Creators Là Gì

Hình 07 – Các Event ID liên quan kết nối mạng LAN, Wireless bên trên Windows

2.8) Event về quá trình (process audit): tương quan những quá trình bên trên windows. Mặc định log này sẽ không được bât, nhằm cấu hình bạn vào chỉnh trong Group Policy theo nhịn nhường dẫn sau “Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy -> Audit process tracking”.

Hình 08 – Các Event ID liên quan cai quản các bước trên Windows

2.9) Event về Windows Filtering Platsize (WFP): thường xuyên gặp mặt lúc có áp dụng điều khiển xe trên thứ bị block/accept như firewall.

Cái này đặc trưng Khi điều tra xem tiến trình làm sao đã kết nối ra C2 làm sao.

Hình 09 – Các Event ID liên quan kết nối trên máy vi tính Windows

2.9) Event về triển khai lịch trình (exedễ thương program): một trong những event thường gặp mặt khi điều tra về những các bước kỳ lạ được tiến hành tương quan mang đến những action của Windows Defender.

Hình 10 – Các Event ID tương quan action của Windows Defender

2.10) Event về PowerShell: giữ lại những event Khi powershell được Gọi ra với tiến hành câu lệnh. Log này mặc định không được enabled, nhằm enabled log ta vào Group Policy thông số kỹ thuật đường truyền sau “Computer Configuration -> Policies -> Administrative sầu Templates -> Windows Components -> Windows PowerShell”.

Event ID của powershell được filter qua 02 ID là 4103 cùng 4104.

Còn tiếp tục cập nhật…

Trên đây mình tổng vừa lòng một vài biết tin về Event Log, để cụ thể minch hoạ rộng về những ngôi trường hợp tốt chạm chán nhằm xử lý, truy nã lốt sự chũm, mình đã cập nhật ứng cùng với các nội dung bài viết vào loạt bài “Điều tra vi phạm luật ANTT”.

Mình dịch thuật và update ban bố rất có thể không đúng mực tốt khác với OS / phiên bản, chúng ta góp ý giúp ở phần comment nhé.

Leave a Reply

Your email address will not be published. Required fields are marked *