Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析---【蘇小沐】
0
目录
1
实验环境
Windows 11 专业工作站版,[v23H2(22631.2506)]
1
(一)Windows日志基础
1
Windows日志查看方法
2
Windows日志记录类型
3
Windows日志数据大小
Windows系统内置"System(系统)、Security(安全)、Application(应用、程序)"的三个核心日志文件默认大小均为20480KB(约20MB),当日志文件数据记录超过20MB时会覆盖掉过期的日志记录;其他的应用程序以及服务日志默认大小均为1028KB(约1MB),默认超过这个大小同样按需要覆盖事件(旧事件优先覆盖)。
【路径:事件查看器->Windows日志->应用程序->属性】
4
Windows日志储存位置
说明 | |
系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。 | |
应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。 | |
安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。 |
5
Windows日志导出类型
Windows日志导出/保存类型有"evtx、xml、txt、csv"四种,默认存储evtx格式,可以选择全部导出或者单条日志文件导出。
支持保存的类型。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【日志分析】自动获取资源合集,如链接失效请留言,便于及时更新。
【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】
【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】
记录 |
开始编辑:2023年 11月 13日 |
END
往期精彩回顾
▲ 【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈
▲ 【电子取证篇】WinHex入门教程合集,看这一篇就够了题
▲ 【电子取证篇】FTK Imager取证教程合集,看这一篇也够了(附下载)
【蘇小沐】
关注我,了解更多取证知识,别忘了点赞+在看哦!