Windows安全日志分析(事件ID详解)

目录

如何查看Windows安全日志

常见事件ID列表

事件ID 1116 - 防病毒软件检测到恶意软件

事件ID 4624 - 账户登录成功

事件ID 4625 - 账户登录失败

事件ID 4672 - 为新登录分配特殊权限

事件ID 4688 - 新进程创建

事件ID 4689 - 进程终止

事件ID 4720 - 用户账户创建

事件ID 4726 - 用户账户删除

事件ID 4732 - 成员被添加到启用安全的本地组

事件ID 4771 - Kerberos预身份验证失败

事件ID 5001 - 防病毒实时保护配置已更改

事件ID 5140 - 网络共享访问

事件ID 5156 - Windows筛选平台(WFP)允许网络连接

事件ID 5158 - Windows筛选平台已允许绑定到本地端口

事件ID 7045 - 系统中安装了服务


如何查看Windows安全日志

  1. 打开事件查看器

    • 按 Win + R 键,打开运行窗口。
    • 输入 eventvwr,然后按回车。
  2. 导航到安全日志

    • 在事件查看器的左侧面板中,展开 “Windows 日志”
    • 点击 “安全”,这将显示安全相关的事件日志。
  3. 查看日志条目

    • 在右侧面板中,你可以看到所有的安全事件。可以通过双击某个事件查看详细信息。

常见事件ID列表

事件ID 1116 - 防病毒软件检测到恶意软件

这个事件记录了Windows Defender检测到恶意软件的情况。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。

事件ID 4624 - 账户登录成功

通过监控这些登录事件,我们可以跟踪谁在何时访问了系统。留意异常的访问模式,可能暗示未经授权的活动。

事件ID 4625 - 账户登录失败

登录失败尝试由此事件ID记录。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。通过密切关注这些事件,我们可以及早发现可疑行为并采取行动。

事件ID 4672 - 为新登录分配特殊权限

当用户被授予特殊权限时,会生成此事件。这对于发现权限提升至关重要,因为它可能表明攻击者正在获得更高级别的访问权限。定期检查这些日志有助于确保权限变更的合法性。

事件ID 4688 - 新进程创建

此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。跟踪进程创建有助于及早发现潜在威胁。

事件ID 4689 - 进程终止

当进程终止时,会触发此事件。这有助于了解进程的生命周期,并可用于与进程创建事件相关联。这是监控系统活动的另一个重要环节。

事件ID 4720 - 用户账户创建

此事件记录了新用户账户的创建。这对于监控谁被添加到系统中以及确保账户创建符合组织政策至关重要。意外出现的新账户可能是一个危险信号。

事件ID 4726 - 用户账户删除

当用户账户被删除时,会记录此事件。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。监控这些事件可以确保账户管理的安全性。

事件ID 4732 - 成员被添加到启用安全的本地组

此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。

事件ID 4771 - Kerberos预身份验证失败

这个事件类似于4625(登录失败),但专门针对Kerberos身份验证。如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。

事件ID 5001 - 防病毒实时保护配置已更改

此事件表明Defender的实时保护设置已被修改。未经授权的更改可能表明有人试图禁用或破坏Defender的功能。

事件ID 5140 - 网络共享访问

事件ID 5140记录了对网络共享的访问。这对于检测未经授权的文件访问或数据泄露非常有用。通过监控网络共享访问,我们可以确保文件共享实践的安全性。

事件ID 5156 - Windows筛选平台(WFP)允许网络连接

此事件捕获了Windows筛选平台允许的网络连接。它有助于识别异常或未经授权的网络流量,这对维护网络安全至关重要。

事件ID 5158 - Windows筛选平台已允许绑定到本地端口

当WFP阻止网络连接时,会生成事件ID 5158。这有助于了解哪些网络流量被阻止,并排除任何潜在的安全问题。

事件ID 7045 - 系统中安装了服务

突然出现未知服务可能表明恶意软件安装,因为许多类型的恶意软件会将自己安装为服务。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/881035.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Git常用指令大全详解

Git常用指令大全详解 Git,作为目前最流行的分布式版本控制系统,其强大的功能和灵活性为开发者提供了极大的便利。无论是个人项目还是团队协作,Git都扮演着不可或缺的角色。本文将详细总结Git的常用指令,帮助大家更好地掌握这一工…

Linux-mysql5.7-mysql8.0安装包下载及安装教程,二合一

一、安装包下载 1、手动下载 MySQL :: Download MySQL Community Server 2、wegt下载 wget https://dev.mysql.com/get/Downloads/MySQL-5.7/mysql-5.7.24-linux-glibc2.12-x86_64.tar.gz 登录自己的liunx ,复制上面的命令下载。 二、手动安装 1、上传压缩包到…

【数据结构与算法 | 灵神题单 | 自底向上DFS篇】力扣965, 2331, 100, 1379

1. 力扣965:单值二叉树 1.1 题目: 如果二叉树每个节点都具有相同的值,那么该二叉树就是单值二叉树。 只有给定的树是单值二叉树时,才返回 true;否则返回 false。 示例 1: 输入:[1,1,1,1,1,n…

EI-BISYNCH协议,欧陆2000系列设备读取数据

EI-Bisynch是一种基于ANSI X3.28-2.5 A4标准的专有协议,用于消息框架。尽管其名称中包含“Bisynch”,但它实际上是一种基于ASCII的异步协议。数据通过7位数据位、偶校验和1个停止位进行传输。 4.1 术语解释 4.1.1 地址 每个仪器都有一个可配置的地址&…

数据结构之二叉树(1)

数据结构之二叉树(1) 一、树 1、树的概念与结构 (1)树是一种非线性的数据结构,由n(n>0)个有限结点组成一个具有层次关系的集合。 (2)树有一个特殊的结点,叫做根结点&#xff…

shell指令及笔试题

一:linux基本指令考察 创建文件,直接在本目录的上级目录下创建一个名为dir1的文件夹,并在dir1文件夹下创建一个名为file1的文件 答:本目录的上级目录下创建一个名为dir1的文件:mkdir ../dir1 在dir1文件夹下创建一个名为file1的…

VS code 创建与运行 task.json 文件

VS code 创建与运行 task.json 文件 引言正文创建 .json 文件第一步第二步第三步 运行 .json 文件 引言 之前在 VS code EXPLORER 中不显示指定文件及文件夹设置(如.pyc, pycache, .vscode 文件) 一文中我们介绍了 settings.json 文件,这里我…

手动部署并测试内网穿透

文章目录 手动部署并测试内网穿透1、原理2、下载 frp 文件3、配置对应的配置文件4、启动 frp 服务5、效果 手动部署并测试内网穿透 1、原理 原理就是让你需要访问的内网可以被其他内网访问到。 其实就是让内网经过一个公网服务器的转发,使得能够被访问。 这里我们需…

2024年H1昇腾服务器中标统计:宝德超聚变遥遥领先

华为全联接大会将于9月19日召开,本届华为全联接大会(HUAWEI CONNECT 2024)以“共赢行业智能化”为主题,以昇腾鲲鹏AI计算为核心,赋能行业增长。 去年9月20日,第八届华为全联接大会在上海发布了昇腾Atlas 90…

解决redis缓存击穿问题之布隆过滤器

布隆过滤器 1. 什么是布隆过滤器 布隆过滤器(Bloom Filter)是一个空间效率很高的数据结构,用于判断一个元素是否在一个集合中。布隆过滤器的核心思想是利用位数组和一系列随机映射函数(哈希函数)来快速判断某个元素是…

什么是CSRF攻击,该如何防护CSRF攻击

CSRF攻击(跨站请求伪造,Cross-Site Request Forgery)是一种网络攻击手段,攻击者利用已通过身份验证的用户,诱导他们在不知情的情况下执行未授权操作。这种攻击通常发生在用户登录到可信网站并且有活动的会话时&#xf…

我的AI工具箱Tauri版-FunAsr音频转文本

本教程基于自研的AI工具箱Tauri版进行FunAsr音频转文本服务。 FunAsr音频转文本服务 是自研AI工具箱Tauri版中的一个高效模块,专为将音频或视频中的语音内容自动转化为文本或字幕而设计。用户只需简单配置输入、输出路径,即可通过FunAsr工具快速批量处理…

PCL KD树的使用

目录 一、概述 1.1原理 1.1.1 数据拆分过程 1.1.2 树的构建示例 1.2实现步骤 1.3应用场景 二、代码实现 2.1关键函数 2.1.1KD树构建与查询: 2.1.2 k近邻搜索 2.1.3半径搜索 2.2完整代码 三、实现效果 3.1处理后点云 3.2数据显示 PCL点云算法汇总及实战…

linux系统维护:给linux的根目录分配更多的额外的磁盘空间,实现系统磁盘容量的平滑升级

目录 一、背景说明 二、概念介绍 1、物理卷(Physical Volume, PV) 2、卷组(Volume Group, VG) 3、逻辑卷(Logical Volume, LV): 三、操作过程 1、vmware中新增磁盘 2、查看磁盘信息 3、格式化…

安卓13长按电源按键直接关机 andriod13不显示关机对话框直接关机

总纲 android13 rom 开发总纲说明 文章目录 1.前言2.问题分析3.代码分析4.代码修改5.编译6.彩蛋1.前言 有些设备需要在长按电源键的时候,直接关机。不需要弹出对话框进行询问。 2.问题分析 过滤电源按键,需要在系统里面处理的话,那么我们需要熟悉android的事件分发,然后再…

stm32f411ceu6芯片学习

首先找到对应芯片的数据手册,硬件电路设计参考的是Electrical characteristics这一节,芯片的每一个引脚都会有推荐的电路接线。 基本每个芯片,都可以在数据手册中找到厂家提供的参考电路图,这就是绘制芯片的原理图最基本的依据。 …

力扣题解2390

大家好,欢迎来到无限大的频道。 今日继续给大家带来力扣题解。 题目描述​(中等): 从字符串中移除星号 给你一个包含若干星号 * 的字符串 s 。 在一步操作中,你可以: 选中 s 中的一个星号。 移除星号…

清理C盘缓存,删除电脑缓存指令是什么

在处理计算机系统的C盘缓存清理任务时,需要谨慎操作以确保系统的稳定性和数据的安全性。通常,Windows操作系统中并没有直接的“一键清理C盘缓存”的单一命令,因为缓存文件分散存储于多个位置,并且有些缓存对于系统性能至关重要&am…

HarmonyOS元服务与卡片

元服务与卡片 文章目录 一、元服务1.介绍2.常见元服务项目步骤 二、卡片1.介绍2.卡片的创建3.卡片的数据的变更4.卡片的进程间通讯4.1使用工具包4.2使用步骤 5.卡片路由postCardAction:快速拉起后台5.1格式5.2快速拉起指定页面--router5.3调用后台功能--call5.3卡片…

基于Java的房地产在线营销管理系统研究与实现

目录 前言 功能设计 系统实现 获取源码 博主主页:百成Java 往期系列:Spring Boot、SSM、JavaWeb、python、小程序 前言 随着信息技术的迅猛发展,互联网已经渗透到我们生活的方方面面,为各行各业带来了前所未有的变革。房地产…