DFIR
系統運作過程中會留下各種事件日誌和紀錄,方便系統管理員及時掌控系統上發生的各種狀況,以確保系統正常穩定且安全的運作。
Windows的事件檢視器可以讓管理員瀏覽及管理多種事件日誌,並針對特定事件觸發通知或執行程式。
Win+R
打開執行,輸入eventvwr
即可開啟事件檢視器
或是Win+X
,選擇事件檢視器
或是Powershell或CMD輸入eventvwr.msc
執行
自訂檢視:
Windows紀錄: 包含3個Windows系統可用的紀錄檔及2個全新的紀錄檔
應用程式紀錄檔:
安全性紀錄檔
紀錄任何有關系統安全性的事件(eg. 登入登出事件、使用管理者權限開啟應用程式(UAC))
由管理員透過"本機安全性原則"及"群組原則"(Windows AD, Active Directory)來定義稽核原則(Audit Policy),以指定安全日誌日誌需紀錄的事件項目
eg. 若啟用"登入稽核原則",會記錄登入的嘗試、建立/開啟/刪除檔案等
gpms.msc
(Group Policy Management Console)由於安全紀錄檔中可能涵蓋機密性資料,因此其檢視所需權限較高,只有Administrator可以檢視其內容
系統紀錄檔:
安裝紀錄檔(Setup)
轉送事件紀錄檔(Forwarded Events)
應用程式及服務紀錄檔: 包含四個子類型
系統管理(Admin)記錄檔:
作業系統(Operational)記錄檔
分析(Analytic)記錄檔
偵錯(Debug)記錄檔
資訊(Information):成功執行的事件
警告(Warning)
錯誤(Error)
成功稽核(安全性紀錄檔, ex使用者登入到電腦時紀錄成功稽核)
失敗稽核(未完成成功稽核的安全性事件, ex無法存取網路驅動程式時)
事件檢視器記錄哪些類別的事件
嘗試找出上次登入成功的那筆log
Windows紀錄
> 安全性
> 篩選目前的紀錄檔
> 事件識別碼4624
或是使用自訂檢視
> 建立自訂檢視
,抓出所有識別碼為4624
的事件紀錄
使用者成功登入的log ID是?
4624
登入失敗的log ID是?
4625
嘗試自己建立/修改/刪除檔案,並找到那筆log
需先啟用稽核物件存取
刪除log的log事件ID?
在Windows紀錄
> 安全性
上按右鍵 > 清除紀錄檔
可以清除該紀錄檔中的所有事件
之後在安全性
紀錄檔中會留下清除紀錄檔的log
刪除log事件的ID為1102
使用FullEventLogView