windows日志分析
By on February 26, 2017
| 创建日期: | 2017年2月27日 |
|---|---|
| 文件名: | winevent.md |
| 存放: | |
| 作者: | 陈刚 |
修订记录
| 日期 | 作者 | 描述 |
|---|---|---|
| 20170227 | 陈刚 | 创建 |
[TOC]
注:
- CSV文件,内容来自真实日志,有表头
- TXT文件,内容是网上查的,没有表头
windows事件日志分析
| Windows 事件 ID | Windows Vista 事件 ID | 事件类型 | 描述 | 日志样本 |
|---|---|---|---|---|
| 512, 513, 514, 515, 516, 518, 519, 520 | 4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616 | 系统事件 | 本地系统进程,例如系统启动,关闭和系统时间的改变。 | 样本数据 |
| 517 | 4612 | 清除的审计日志 | 所有审计日志清除事件 | 样本数据 |
| 528, 540 | 4624 | 成功用户登录 | 所有用户登录事件 | 样本数据 |
| 529, 530, 531, 532, 533, 534, 535, 536, 537 539 | 4625 | 登录失败 | 所有用户登录失败事件 | 样本数据 |
| 538 | 4634 | 成功用户退出 | 所有用户退出事件 | 样本数据 |
| 560, 562, 563, 564, 565, 566, 567, 568 | 4656, 4658, 4659, 4660, 4661, 4662, 4663, 4664 | 对象访问 | 当访问一给定的对象(文件,目录等)访问的类型(例如读,写,删除) ,访问是否成功或失败,谁实施了这一行为 | 样本数据 |
| 612 | 4719 | 审计政策改变 | 审计政策的改变 | 样本数据 |
| 624, 625, 626, 627, 628, 629, 630, 642, 644 | 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740 | 用户帐号改变 | 用户帐号的改变,像用户帐号创建,删除,改变密码等等 | 样本数据 |
| (631 to 641) and (643, 645 to 666) | 4727 to 4737, 4739 to 4762 | 用户组改变 | # | 样本数据 |
| 672, 680 | 4768, 4776 | 成功用户帐号验证 | 当一个域用户帐号在域控制器认证时,生成用户帐号成功登录事件。 | 样本数据 |
| 675, 681 | 4771, 4777 | 失败用户帐号验证 | 失败用户帐号登录事件,当一个域用户帐号在域控制器认证时 ,生成不成功用户帐号登录事件。 | 样本数据 |
| 682, 683 | 4778, 4779 | 主机会话状态 | 会话重新连接或断开 | 样本数据 |