windows日志.docx

?Windows日志浅析Windows日志从Windows2000版本后共包括9种审计策略，WindowsNT只有7种（此次没验证，懒得装NT虚拟机了）。共分为：帐户登录、登录、对象访问、目录服务访问、进程追踪、特权使用、帐户管理、策略变更、系统事件9大类。其中帐户登录其实是对登录用户的认证事件，据大神Randy自己说，称其为“认证事件“更为合适。登录事件记录的是用户登录到哪台PC的事件。对象访问记录的是用户对Windows对象的访问事件，这里对象包括注册表、服务、打印机、文件/文件夹等。目录服务访问就是对AD中所有对象的访问事件。进程追踪则为主机执行的程序事件，不管是由用户自己执行还是系统自动执行的。特权使用指用户使用分配的特权的事件，这里特权指在本地安全策略中分配给用户的权限。帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件。策略变更指本地安全策略或DC上信任关系变化的事件。系统事件则涉及到一些安全事件的杂项，如系统的启动和关闭、系统事件修改等等。??9类审计策略大概的介绍就到这里，在随后的文章中会分别具体地说明，自己也尽可能在Windows2003操作系统进行验证。在正式对每类事件进行分析前，先大概对windows的日志格式进行一个简单的介绍。每个windows日志都由两部分组成：头字段和描述字段。头字段是相对内容和格式都固定的部分，包括的