:cherry_blossom: 今天有个应用挂掉了,用户找过来,简单看一下像权限问题,将用户加到本地管理员组,问题解决。
虽然问题解决了,但问题只是刚开始。大家为了帅锅,需要找出根本原因。所以我需要找出谁把权限删除了,因为原来一直是可以的。
windows日志还是记录很详细的,哪个账号哪个时间操作的。
以下是windows日志相关常用概念:
| 概念 | 解释 |
|---|---|
| Event Log | 事件日志,用于记录Windows系统中的事件信息 |
| Application Log | 应用程序日志,记录应用程序事件 |
| Security Log | 安全日志,记录安全相关事件,如登录失败等 |
| System Log | 系统日志,记录系统事件,如驱动安装等 |
| Event ID | 事件ID,每个日志事件的唯一标识 |
| Event Source | 事件源,产生日志的应用程序、组件等 |
| Event Type | 事件类型,如信息、警告、错误等 |
| Event Category | 事件类别,描述事件的类别,如数据库相关等 |
| Event Data | 事件数据,事件的详细信息 |
| Log File | 日志文件,存储日志记录的文件 |
| Log Level | 日志级别,事件的严重程度,如Verbose、Info、Warning、Error等 |
| ETW | Event Tracing for Windows,用于跟踪Windows事件 |
| Event Log Service | 事件日志服务,管理日志记录服务 |
| Event Viewer | 事件查看器,查看Windows日志的工具 |
| Log Rotation | 日志轮换,定期归档日志文件 |
| Log Archive | 日志存档,已轮换的日志文件 |
| Log Retention | 日志保留,日志文件的保存策略 |
| Log Truncation | 日志截断,删除过期日志 |
| Log Corruption | 日志损坏,日志文件数据错误 |
| Log Parsing | 日志解析,从日志中提取信息 |
| Log Monitoring | 日志监控,实时查看和分析日志 |
| Syslog | 系统日志协议,用于汇聚日志 |
| Log Forwarding | 日志转发,将日志发送到其他系统 |
| Log Shipping | 日志传送,将日志定期复制到远程服务器 |
| Log Analysis | 日志分析,利用日志数据进行统计、查询、分析等 |
| Log Management | 日志管理,对日志进行收集、存储、监控、分析等管理 |
| SIEM | Security Information and Event Management系统,关联并分析安全日志数据 |
| Logstash | 开源的日志收集工具 |
| Splunk | 日志分析平台 |
| Graylog | 开源日志管理系统 |
| Elastic Stack | Elastic公司的日志分析解决方案套件 |
| Windows Event Forwarding | 将Windows日志转发到SIEM或其他服务器 |
| PowerShell Logging | 使用PowerShell进行日志管理 |
| Wevtutil | Windows日志命令行管理工具 |
| Get-WinEvent | PowerShell获取Windows事件日志的cmdlet |
| Set-WinEvent | PowerShell配置Windows事件日志的cmdlet |
| Export-Csv | PowerShell导出事件日志到CSV文件的cmdlet |
事件查看器高效过滤事件日志
- 根据事件ID过滤,例如只查看ID为4624的登录成功事件。
- 根据事件级别过滤,只查看错误或关键警告事件。
- 根据事件源过滤,如只查看来自SQL Server的事件。
- 使用包含/不包含关键词过滤事件描述信息。
- 设置开始结束时间范围进行过滤。
- 组合多个条件进行复杂过滤,如源+ID+级别等。
- 保存常用的自定义视图,方便重新应用过滤。
- 使用“查找”功能搜索特定字符串快速定位事件。
- 把结果保存为XML文件进行外部处理。
- 使用PowerShell提取日志信息,进行复杂排序、统计等分析。