Windows安全日志7关键事件ID分析

news2024/11/17 21:37:46

背景

Windows日志里的事件分析有助于在系统出现异常时分析出异常原因,利于针对问题做出系统的修复和预防。今天阿祥就整理出Windows常见的事件,分析这些事件的具体原因,希望对系统运维工程师们有一定的帮助!

具体事件ID

1、事件ID 1116

作用:意为反恶意软件平台检测到恶意软件或其他可能不需要的软件

检测源:如:

①用户:用户已启动

②系统:系统启动

③实时:实时组件已启动

④IOAV:已启动 IE 下载和 Outlook Express 附件

⑤NIS:网络检查系统

⑥IEPROTECT:IE - IExtensionValidation;这可以防止恶意网页控件。

⑦提前启动反恶意软件 (ELAM) 。这包括启动序列检测到的恶意软件。

⑧远程证明

此类问题处理:

无需执行任何操作。Microsoft Defender防病毒可以暂停并对此威胁执行例行操作。如果要手动删除威胁,请在“Microsoft Defender防病毒”界面中选择“清理计算机”

2、事件ID 4624

作用:意为账户登录成功,虽然平时没啥用。但在系统被无故抢占登录,或者被操作时,可以通过这个事件,跟踪谁在何时访问了系统。留意异常时的访问情况,检查未经授权的活动。

f52ec19c2809b552d5926c91b6e5be27.png

3、事件ID 4625

作用:和4624相反,这是登录失败的事件。可以检查登录失败的原因,也可用于检查是否有暴力破解攻击

17c4dfb99273777df4c11f4fc2c8339e.png

4、事件ID 4672

作用:意为被授予特殊权限的用户登录,在运维工作中对于发现非权限提升权限的操作来说非常重要,可通过它发现是否有攻击者正在获得更高级访问权限

127738c9730240c3ebd4d20a1be412aa.png

5、事件ID 4732

作用:意为用户被添加到本地安全组,这个事件用于检查是否存在非授权的提权操作

6、事件ID 5156

含义:记录了windows操作系统中的一种网络流量。具体来说,当windows操作系统中的网络流量通过防火墙时,就会生成一条windows安全日志5156事件。这条事件包括:事件发生的时间、源地址和目标地址、协议类型网络流量使用的协议类型、源目业务口、源网络地址类型和目标网络地址类型、防火墙规则防火墙匹配的规则

作用:

1. 监控网络流量

通过日志记录的网络流量的源和目标地址、协议类型、端口等关键信息,可以帮助管理员了解网络流量的情况,从而更好地监控网络。

2. 发现网络攻击

根据日志记录量,判断是否有网络攻击流量,发现网络攻击的迹象,从而及时采取安全加固措施,保护系统的安全性。

3. 优化防火墙规则

可以了解防火墙对网络流量的判断和处理情况,从而确认是否需要优化防火墙规则,提高防火墙的效率和安全性。

4. 辅助安全审计

用于安全审计,帮助管理员了解系统当前的安全状况,及时发现和修复安全问题,从而保障系统的安全性和稳定性。

c75b4c7b5ffa519d0b37175b29632b79.png

7、事件ID 7045 

作用:帮助管理员了解系统中哪些服务在启动时出现了哪些问题

具体记录:

①服务名称指服务的名称,例如“windows Update”。

②服务类型指服务的类型,例如“文件夹同步服务”。

③服务路径指服务的路径,例如“C\windows\System32\svchost.exe -k netsvcs”。

④服务状态指服务的状态,例如“已启动”。

⑤服务控制管理器指服务的控制管理器,例如“Services”。

⑥服务启动类型指服务的启动类型,例如“自动”。

⑦服务依赖关系指服务所依赖的其他服务,例如“RPC服务”。

具体含义:

1.服务启动失败如果某个服务在启动时失败,windows日志ID7045会记录下来。了解服务启动失败的原因,从而采取相应的措施进行修复。

2.服务启动缓慢如果某个服务在启动时缓慢,windows日志ID7045也会记录下来。了解服务启动缓慢的原因,从而采取相应的措施进行优化。

3.服务依赖关系windows日志ID7045还会记录服务的依赖关系。了解服务之间的依赖关系,从而更好地管理系统。

遇到服务启动问题的具体修复:

如果管理员发现系统中出现了windows日志ID7045记录的服务启动问题,可以采取以下措施进行修复

1.检查服务启动类型管理员可以通过查看服务的启动类型,了解服务是自动启动还是手动启动。如果服务的启动类型为手动,可以将其改为自动启动;如果服务的启动类型为禁用,可以将其改为手动启动。

2.检查服务路径管理员可以通过查看服务的路径,了解服务所在的位置。如果服务所在的位置发生了变化,可以将其更改为正确的路径。

不想错过文章内容?读完请点一下“在看41387a1c9e8e333f39a93520ad0aadcc.gif,加个关注”,您的支持是我创作的动力

期待您的一键三连支持(点赞、在看、分享~)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2174753.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MySQL—触发器详解

基本介绍 触发器是与表有关的数据库对象,在 INSERT、UPDATE、DELETE 操作之前或之后触发并执行触发器中定义的 SQL 语句。 触发器的这种特性可以协助应用在数据库端确保数据的完整性、日志记录、数据校验等操作。 使用别名 NEW 和 OLD 来引用触发器中发生变化的记…

JSR 303学习

系列文章目录 JavaSE基础知识、数据类型学习万年历项目代码逻辑训练习题代码逻辑训练习题方法、数组学习图书管理系统项目面向对象编程:封装、继承、多态学习封装继承多态习题常用类、包装类、异常处理机制学习集合学习IO流、多线程学习仓库管理系统JavaSE项目员工…

fiddler抓包12_篡改请求(请求前断点)

课程大纲 原理 正常“客户端-服务器”通信,即发送请求,接收返回。 Fiddler抓包是「客户端-浏览器」进行交互时,请求和响应都会从Fiddler通过,Fiddler可以捕获并展示。 请求前断点(BreakPoint Before Request&#xff0…

[论文阅读] ChartInstruct: Instruction Tuning for Chart Comprehension and Reasoning

原文链接:http://arxiv.org/abs/2403.09028 源码链接:https://github.com/vis-nlp/ChartInstruct 启发:本文构建的instruction-tuning数据集以及使用该数据集对模型进行微调的过程都值得学习。 Abstract 研究对象:图表 研究…

yakit使用教程(一,下载并进行基础配置)

一,yakit简介 YAKIT(Yet Another Knife for IT Security)是一款网络安全单兵工具,专为个人渗透测试员和安全研究人员设计。它整合了一系列实用的安全工具,例如密码破解工具、网络扫描器、漏洞利用工具等,帮…

空间复杂度动态顺序表

目录 1>>闲话 2>>空间复杂度 3>>顺序表!!(有点难度) 3.1>>静态顺序表 3.2>>动态顺序表 3.2.1>>初始化动态顺序表 3.2.2>>实现尾插 4>>结语 1>>闲话 感谢大家对小…

【YOLO目标检测反光衣数据集】共2388张、已标注txt格式、有训练好的yolov5的模型

目录 说明图片示例 说明 数据集格式:YOLO格式 图片数量:2388 标注数量(txt文件个数):2388 标注类别数:2 标注类别名称:reflective_clothes、other_clothes 数据集下载:反光衣数据集 图片示例 数据…

HJ50-四则运算:栈的运用、中缀表达式转后缀表达式并计算结果

文章目录 题目一、分析1.1表达式预处理1.2中缀表达式转后缀1.3 后缀表达式计算结果 二、答案 题目 一、分析 通过利用栈将中缀表达式转换为后缀表达式,在根据后缀表达式计算运算结果。由于包含负数操作数的情况,并且操作数位数不固定为1,因此…

【算法篇】二叉树类(3)(笔记)

目录 一、Leetcode 题目 1. 二叉树的最近公共祖先 2. 二叉搜索树的最近公共祖先 (1)递归法 (2)迭代法 3. 二叉搜索树中的插入操作 (1)递归法 (2)迭代法 4. 删除二叉搜索树中…

时间序列LSTM实现

这个代码参考了时间序列预测模型实战案例(三)(LSTM)(Python)(深度学习)时间序列预测(包括运行代码以及代码讲解)_lstm预测模型-CSDN博客 结合我之前所学的lstm-seq2seq里所学习到的知识对其进行预测 import time import numpy as np import pandas as pd import torch import…

革命题材网络电影《突进夹金山》将于10月上线

“长征万里险,最忆夹金山”。这座雪山不仅见证了红军战士们的英勇与牺牲,也成为了中国革命历史上的一座重要里程碑。 革命题材网络电影《突进夹金山》,作为四川省2024年度重点影视剧项目以及纪念红军长征90周年献礼的红色作品,由谢…

死磕P7: JVM类加载那些事儿,一起探知类的前世今生(二)

这是「死磕P7」系列第 006 篇文章,欢迎大家来跟我一起 死磕 100 天,争取在 2025 年来临之际,给自己一个交代。 接上篇,上一篇介绍了 JVM 类加载过程及类的生命周期,回顾一下: 死磕P7: JVM类加载那些事儿&a…

周文强聚焦助学育人,爱心图书室项目圆满完成

日前,一场充满爱心与希望的公益活动在四川甘孜州乡城县尼斯寄宿制小学拉开帷幕。这次名为“520爱心图书室”的公益活动,旨在通过捐赠图书的方式,支持基层青少年的阅读成长。作为此次活动的积极参与者,周文强不仅向学校捐赠了价值1…

python 高效读取多个geojson 写入一个sq3(Sqlite) 、效率提高90%+

1.问题缘由: 由于工作需求,需要将多个(总量10G)geojson文件写入到sq3库,众所周知,sqlite 不支持多线程写入,那该怎么办呢,在网上也查了很多策略,都没有达到立竿见影的效果…

甄选范文“论分布式存储系统架构设计”,软考高级论文,系统架构设计师论文

论文真题 分布式存储系统(Distributed Storage System)通常将数据分散存储在多台独立的设备上。传统的网络存储系统采用集中的存储服务器存放所有数据,存储服务器成为系统性能的瓶颈,也是可靠性和安全性的焦点,不能满足大规模存储应用的需要。分布式存储系统采用可扩展的…

车辆重识别(去噪扩散概率模型)论文阅读2024/9/27

[2] Denoising Diffusion Probabilistic Models 作者:Jonathan Ho Ajay Jain Pieter Abbeel 单位:加州大学伯克利分校 摘要: 我们提出了高质量的图像合成结果使用扩散概率模型,一类潜变量模型从非平衡热力学的考虑启发。我们的最…

linux驱动设备程序(内核层、应用层)

一、linux驱动程序 1、分类 字符设备&#xff08;驱动&#xff09;、块设备&#xff08;驱动&#xff09;、网络设备&#xff08;驱动&#xff09;。 2、核心 应用程序运行在用户空间&#xff08;3G&#xff09;&#xff1b;<系统调用>——><陷入>——>&…

正则表达式在过滤交换机lldp信息的应用举例

#include <iostream> #include <string> #include <regex> #include <vector> #include <unordered_map> #include <sstream> #include <unistd.h> // For usleep// 假设存在的 LOG_INFO 和 LOG_WARNING 函数 #define LOG_INFO(...)…

17.第二阶段x86游戏实战2-线程发包和明文包

免责声明&#xff1a;内容仅供学习参考&#xff0c;请合法利用知识&#xff0c;禁止进行违法犯罪活动&#xff01; 本次游戏没法给 内容参考于&#xff1a;微尘网络安全 本人写的内容纯属胡编乱造&#xff0c;全都是合成造假&#xff0c;仅仅只是为了娱乐&#xff0c;请不要…

基于docker-compose部署openvas

目录 0.部署openvas 1.编辑docker-compose文件 2.运行compose 3.访问openvas 4.openvas扫描 5.创建任务 6.点击Task Wizard ​编辑 7.输入通讯的IP地址 8.下载报告 9.下载完成 0.部署openvas 1.编辑docker-compose文件 vim docker-compose.yaml version: 3service…