Windows安全日志7关键事件ID分析

news/2024/12/22 9:54:03/

背景

Windows日志里的事件分析有助于在系统出现异常时分析出异常原因,利于针对问题做出系统的修复和预防。今天阿祥就整理出Windows常见的事件,分析这些事件的具体原因,希望对系统运维工程师们有一定的帮助!

具体事件ID

1、事件ID 1116

作用:意为反恶意软件平台检测到恶意软件或其他可能不需要的软件

检测源:如:

①用户:用户已启动

②系统:系统启动

③实时:实时组件已启动

④IOAV:已启动 IE 下载和 Outlook Express 附件

⑤NIS:网络检查系统

⑥IEPROTECT:IE - IExtensionValidation;这可以防止恶意网页控件。

⑦提前启动反恶意软件 (ELAM) 。这包括启动序列检测到的恶意软件。

⑧远程证明

此类问题处理:

无需执行任何操作。Microsoft Defender防病毒可以暂停并对此威胁执行例行操作。如果要手动删除威胁,请在“Microsoft Defender防病毒”界面中选择“清理计算机”

2、事件ID 4624

作用:意为账户登录成功,虽然平时没啥用。但在系统被无故抢占登录,或者被操作时,可以通过这个事件,跟踪谁在何时访问了系统。留意异常时的访问情况,检查未经授权的活动。

f52ec19c2809b552d5926c91b6e5be27.png

3、事件ID 4625

作用:和4624相反,这是登录失败的事件。可以检查登录失败的原因,也可用于检查是否有暴力破解攻击

17c4dfb99273777df4c11f4fc2c8339e.png

4、事件ID 4672

作用:意为被授予特殊权限的用户登录,在运维工作中对于发现非权限提升权限的操作来说非常重要,可通过它发现是否有攻击者正在获得更高级访问权限

127738c9730240c3ebd4d20a1be412aa.png

5、事件ID 4732

作用:意为用户被添加到本地安全组,这个事件用于检查是否存在非授权的提权操作

6、事件ID 5156

含义:记录了windows操作系统中的一种网络流量。具体来说,当windows操作系统中的网络流量通过防火墙时,就会生成一条windows安全日志5156事件。这条事件包括:事件发生的时间、源地址和目标地址、协议类型网络流量使用的协议类型、源目业务口、源网络地址类型和目标网络地址类型、防火墙规则防火墙匹配的规则

作用:

1. 监控网络流量

通过日志记录的网络流量的源和目标地址、协议类型、端口等关键信息,可以帮助管理员了解网络流量的情况,从而更好地监控网络。

2. 发现网络攻击

根据日志记录量,判断是否有网络攻击流量,发现网络攻击的迹象,从而及时采取安全加固措施,保护系统的安全性。

3. 优化防火墙规则

可以了解防火墙对网络流量的判断和处理情况,从而确认是否需要优化防火墙规则,提高防火墙的效率和安全性。

4. 辅助安全审计

用于安全审计,帮助管理员了解系统当前的安全状况,及时发现和修复安全问题,从而保障系统的安全性和稳定性。

c75b4c7b5ffa519d0b37175b29632b79.png

7、事件ID 7045 

作用:帮助管理员了解系统中哪些服务在启动时出现了哪些问题

具体记录:

①服务名称指服务的名称,例如“windows Update”。

②服务类型指服务的类型,例如“文件夹同步服务”。

③服务路径指服务的路径,例如“C\windows\System32\svchost.exe -k netsvcs”。

④服务状态指服务的状态,例如“已启动”。

⑤服务控制管理器指服务的控制管理器,例如“Services”。

⑥服务启动类型指服务的启动类型,例如“自动”。

⑦服务依赖关系指服务所依赖的其他服务,例如“RPC服务”。

具体含义:

1.服务启动失败如果某个服务在启动时失败,windows日志ID7045会记录下来。了解服务启动失败的原因,从而采取相应的措施进行修复。

2.服务启动缓慢如果某个服务在启动时缓慢,windows日志ID7045也会记录下来。了解服务启动缓慢的原因,从而采取相应的措施进行优化。

3.服务依赖关系windows日志ID7045还会记录服务的依赖关系。了解服务之间的依赖关系,从而更好地管理系统。

遇到服务启动问题的具体修复:

如果管理员发现系统中出现了windows日志ID7045记录的服务启动问题,可以采取以下措施进行修复

1.检查服务启动类型管理员可以通过查看服务的启动类型,了解服务是自动启动还是手动启动。如果服务的启动类型为手动,可以将其改为自动启动;如果服务的启动类型为禁用,可以将其改为手动启动。

2.检查服务路径管理员可以通过查看服务的路径,了解服务所在的位置。如果服务所在的位置发生了变化,可以将其更改为正确的路径。

不想错过文章内容?读完请点一下“在看41387a1c9e8e333f39a93520ad0aadcc.gif,加个关注”,您的支持是我创作的动力

期待您的一键三连支持(点赞、在看、分享~)


http://www.ppmy.cn/news/1533381.html

相关文章

C++ | Leetcode C++题解之第448题找到所有数组中消失的数字

题目&#xff1a; 题解&#xff1a; class Solution { public:vector<int> findDisappearedNumbers(vector<int>& nums) {int n nums.size();for (auto& num : nums) {int x (num - 1) % n;nums[x] n;}vector<int> ret;for (int i 0; i < n;…

ASP.NET Core 创建使用异步队列

示例图 在 ASP.NET Core 应用程序中&#xff0c;执行耗时任务而不阻塞线程的一种有效方法是使用异步队列。在本文中&#xff0c;我们将探讨如何使用 .NET Core 和 C# 创建队列结构以及如何使用此队列异步执行操作。 步骤 1&#xff1a;创建 EmailMessage 类 首先&#xff0c…

深化专长,广博学习,软技能助力核心竞争力提升

在当今数字化、信息化的时代&#xff0c;AI技术的发展正如海浪般席卷全球&#xff0c;特别是在AIGC等大语言模型的涌现下&#xff0c;AI辅助编程工具逐渐成为编程领域的热点。这种技术变革对程序员的工作方式产生了深远影响&#xff0c;同时也带来了新的机遇和挑战。面对AI的崛…

远程访问软路由

远程访问软路由主要涉及通过互联网从远程位置访问和控制基于软件的路由器系统。以下是远程访问软路由的一般方法&#xff1a; 一、远程访问软路由的方法 通过Web管理界面访问&#xff1a; 适用于大多数支持Web管理的软路由系统。用户只需在浏览器中输入软路由的公网IP地址或域…

Oracle 相关的工具使用 SQL Developer , sqlplus

Oracle 相关的工具使用 SQL Developer &#xff0c; sqlplus 一&#xff0c;Oracle SQL Developer 连接数据库 今天在连接sqldeveloper服务器时遇到了很多问题&#xff0c;但最终还是通过网上的博客解决了问题&#xff0c;我就在总结一下我的解决过程。 一.界面 首先&#…

虚幻引擎UE5如何云渲染,教程来了

​步骤一&#xff1a;获取云渲染权限 访问渲染101官网&#xff0c;使用云渲码6666进行注册。 下载并安装渲染客户端。 步骤二&#xff1a;设置渲染环境 确保云渲染环境与您的本地环境一致&#xff0c;避免出错。 步骤三&#xff1a;任务提交 完成环境配置后&#xff0c;解析…

UI设计师面试整理-设计趋势和行业理解

在UI设计师的面试中,了解当前的设计趋势和行业动态可以让你在面试中展示你的前瞻性思维和对设计领域的深刻理解。面试官希望看到你不仅具备扎实的设计技能,还能够洞察和应用最新的设计趋势和技术。以下是一些当前的设计趋势和如何在面试中展示你对这些趋势的理解和应用的建议…

docker pull 超时的问题如何解决

docker不能使用&#xff0c;使用之前的阿里云镜像失败。。。 搜了各种解决方法&#xff0c;感谢B站UP主 <iframe src"//player.bilibili.com/player.html?isOutsidetrue&aid113173361331402&bvidBV1KstBeEEQR&cid25942297878&p1" scrolling"…