Windows安全日志分析(事件ID详解)

目录

如何查看Windows安全日志

常见事件ID列表

事件ID 1116 - 防病毒软件检测到恶意软件

事件ID 4624 - 账户登录成功

事件ID 4625 - 账户登录失败

事件ID 4672 - 为新登录分配特殊权限

事件ID 4688 - 新进程创建

事件ID 4689 - 进程终止

事件ID 4720 - 用户账户创建

事件ID 4726 - 用户账户删除

事件ID 4732 - 成员被添加到启用安全的本地组

事件ID 4771 - Kerberos预身份验证失败

事件ID 5001 - 防病毒实时保护配置已更改

事件ID 5140 - 网络共享访问

事件ID 5156 - Windows筛选平台(WFP)允许网络连接

事件ID 5158 - Windows筛选平台已允许绑定到本地端口

事件ID 7045 - 系统中安装了服务


如何查看Windows安全日志

  1. 打开事件查看器

    • 按 Win + R 键,打开运行窗口。
    • 输入 eventvwr,然后按回车。
  2. 导航到安全日志

    • 在事件查看器的左侧面板中,展开 “Windows 日志”
    • 点击 “安全”,这将显示安全相关的事件日志。
  3. 查看日志条目

    • 在右侧面板中,你可以看到所有的安全事件。可以通过双击某个事件查看详细信息。

常见事件ID列表

事件ID 1116 - 防病毒软件检测到恶意软件

这个事件记录了Windows Defender检测到恶意软件的情况。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。

事件ID 4624 - 账户登录成功

通过监控这些登录事件,我们可以跟踪谁在何时访问了系统。留意异常的访问模式,可能暗示未经授权的活动。

事件ID 4625 - 账户登录失败

登录失败尝试由此事件ID记录。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。通过密切关注这些事件,我们可以及早发现可疑行为并采取行动。

事件ID 4672 - 为新登录分配特殊权限

当用户被授予特殊权限时,会生成此事件。这对于发现权限提升至关重要,因为它可能表明攻击者正在获得更高级别的访问权限。定期检查这些日志有助于确保权限变更的合法性。

事件ID 4688 - 新进程创建

此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。跟踪进程创建有助于及早发现潜在威胁。

事件ID 4689 - 进程终止

当进程终止时,会触发此事件。这有助于了解进程的生命周期,并可用于与进程创建事件相关联。这是监控系统活动的另一个重要环节。

事件ID 4720 - 用户账户创建

此事件记录了新用户账户的创建。这对于监控谁被添加到系统中以及确保账户创建符合组织政策至关重要。意外出现的新账户可能是一个危险信号。

事件ID 4726 - 用户账户删除

当用户账户被删除时,会记录此事件。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。监控这些事件可以确保账户管理的安全性。

事件ID 4732 - 成员被添加到启用安全的本地组

此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。

事件ID 4771 - Kerberos预身份验证失败

这个事件类似于4625(登录失败),但专门针对Kerberos身份验证。如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。

事件ID 5001 - 防病毒实时保护配置已更改

此事件表明Defender的实时保护设置已被修改。未经授权的更改可能表明有人试图禁用或破坏Defender的功能。

事件ID 5140 - 网络共享访问

事件ID 5140记录了对网络共享的访问。这对于检测未经授权的文件访问或数据泄露非常有用。通过监控网络共享访问,我们可以确保文件共享实践的安全性。

事件ID 5156 - Windows筛选平台(WFP)允许网络连接

此事件捕获了Windows筛选平台允许的网络连接。它有助于识别异常或未经授权的网络流量,这对维护网络安全至关重要。

事件ID 5158 - Windows筛选平台已允许绑定到本地端口

当WFP阻止网络连接时,会生成事件ID 5158。这有助于了解哪些网络流量被阻止,并排除任何潜在的安全问题。

事件ID 7045 - 系统中安装了服务

突然出现未知服务可能表明恶意软件安装,因为许多类型的恶意软件会将自己安装为服务。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/429913.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

力扣206.反转链表

力扣《反转链表》系列文章目录 刷题次序,由易到难,一次刷通!!! 题目题解206. 反转链表反转链表的全部 题解192. 反转链表 II反转链表的指定段 题解224. 两两交换链表中的节点两个一组反转链表 题解325. K 个一组翻转…

【Go】Go语言切片(Slice)深度剖析与应用实战

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,…

Geo.__init__() got an unexpected keyword argument ‘title_color‘

把pyecharts从0.5版升级以后,报错如下: lmportError: cannot import name Geo from pyecharts‘ 参考这个:python画图时,from pyecharts import Geo时出错_cannot import name geo from pyecharts-CSDN博客 改成: fr…

yolov5/8/9/10模型在VOC数据集上的应用【代码+数据集+python环境+GUI系统】

yolov5/8/9/10模型在VOC数据集上的应用【代码数据集python环境GUI系统】 1.背景意义 VOC数据集被广泛应用于计算机视觉领域的研究和实验中,特别是目标检测和图像识别任务。许多知名的目标检测算法都使用VOC数据集进行训练和测试。VOC挑战赛(VOC Challeng…

Chainlit集成LlamaIndex实现知识库高级检索(自动合并检索)

检索原理 自动合并检索 自动合并检索原理,和我的上一篇文章的检索方案: 将文本分割成512大小(一般对应段落大小)和128(一般对句子大小不是严格的句子长度)大小两种分别存储到索引库,再用llama_…

NoSql数据库Redis知识点

数据库的分类 关系型数据库 ,是建立在关系模型基础上的数据库,其借助于集合代数等数学概念和方法来处理数据库 中的数据主流的 MySQL 、 Oracle 、 MS SQL Server 和 DB2 都属于这类传统数据库。 NoSQL 数据库 ,全称为 Not Only SQL &a…

[uni-app]小兔鲜-01项目起步

项目介绍 效果演示 技术架构 创建项目 HBuilderX创建 下载HBuilderX编辑器 HBuilderX/创建项目: 选择模板/选择Vue版本/创建 安装插件: 工具/插件安装/uni-app(Vue3)编译器 vue代码不能直接运行在小程序环境, 编译插件帮助我们进行代码转换 绑定微信开发者工具: 指定微信开…

2024年最新前端工程师 TypeScript 基础知识点详细教程(更新中)

1. TypeScript 概述 TypeScript 是由微软开发的、基于 JavaScript 的一种强类型编程语言。它是在 JavaScript 的基础上添加了静态类型检查、面向对象编程等功能的超集,最终会被编译为纯 JavaScript 代码。由于其扩展了 JavaScript 的功能,TypeScript 特…

解锁亚马逊测评自养号防关联新技术

解锁亚马逊测评自养号防关联的新技术主要包括以下几个方面,这些技术旨在提高测评过程的安全性,降低账号被关联的风险: 1. 独立纯净IP技术 独立纯净IP:采用独立、纯净且未受污染的国外IP地址,确保这些IP未被标记或列入…

240922-MacOS终端访问硬盘

A. 最终效果 B. 操作步骤 在macOS中,可以通过命令行使用Terminal访问硬盘的不同位置。你可以按照以下步骤操作: 打开终端(Terminal): 在应用程序中打开终端,或者使用 Spotlight 搜索“Terminal”来启动。 …

初学者的鸿蒙多线程并发之 TaskPool 踩坑之旅

1. 背景 目标群体:鸿蒙初学者 版本:HarmonyOS 3.1/4.0 背景:鸿蒙 App 的全局路由管理功能,需要在 App 启动时初始化对 raw 下的相关配置文件进行读取、解析并缓存。App 启动时涉及到了大量模块的初始化,好多模块都涉…

巨潮股票爬虫逆向

目标网站 aHR0cDovL3dlYmFwaS5jbmluZm8uY29tLmNuLyMvSVBPTGlzdD9tYXJrZXQ9c3o 一、抓包分析 请求头参数加密 二、逆向分析 下xhr断点 参数生成位置 发现是AES加密,不过是混淆的,但并不影响咱们扣代码 文章仅提供技术交流学习,不可对目标服…

Vue3+Element Plus:使用el-dialog,对话框可拖动,且对话框弹出时仍然能够在背景页(对话框外部的页面部分)上进行滚动以及输入框输入信息

【需求】 使用Element Plus中的el-dialog默认是模态的(即它会阻止用户与对话框外部的元素进行交互),对话框弹出时仍然能够在背景页(对话框外部的页面部分)上进行滚动以及输入框输入信息,且对话框可拖动 【…

react hooks--React.memo

基本语法 React.memo 高阶组件的使用场景说明: React 组件更新机制:只要父组件状态更新,子组件就会无条件的一起更新。 子组件 props 变化时更新过程:组件代码执行 -> JSX Diff(配合虚拟 DOM)-> 渲…

STM32精确控制步进电机

目的:学习使用STM32电机驱动器步进电机,进行电机运动精确控制。 测试环境: MCU主控芯片STM32F103RCT6 ;A4988步进电机驱动器模块;微型2相4线步进电机10mm丝杆滑台,金属丝杆安装有滑块。 10mm二相四线微型…

NtripShare测量机器人自动化监测系统测站更换仪器后重新设站

NtripShare测量机器人自动化监测系统投入商业运营已经很久了,在MosBox与自动优化网平差技术的加持下,精度并不让人担心,最近基于客户需求处理了两个比较大的问题。 1、增加对反射片和免棱镜的支持。 2、进一步优化测站更换仪器或重新整平后重…

Qemu开发ARM篇-5、buildroot制作根文件系统并在qemu中进行挂载启动

文章目录 1、 buildroot源码获取2、buildroot配置3、buildroot编译4、挂载根文件系统 在上一篇 Qemu开发ARM篇-4、kernel交叉编译运行演示中,我们编译了kernel,并在qemu上进行了运行,但到最后,在挂载根文件系统时候,挂…

[数据集][目标检测]文本表格检测数据集VOC+YOLO格式6688张5类别

数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):6688 标注数量(xml文件个数):6688 标注数量(txt文件个数):6688 标注…

Fyne ( go跨平台GUI )中文文档-绘图和动画(三)

本文档注意参考官网(developer.fyne.io/) 编写, 只保留基本用法 go代码展示为Go 1.16 及更高版本, ide为goland2021.2 这是一个系列文章: Fyne ( go跨平台GUI )中文文档-入门(一)-CSDN博客 Fyne ( go跨平台GUI )中文文档-Fyne总览(二)-CSDN博客 Fyne ( go跨平台GUI…

Easy Excel从入门到精通!!!

目录 1.文件导入 1.1基本方式读取excel文件内容 1.2注解模型映射器读取excel 1.3多行表头读取 1.4文件上传读取 2.文件导出 2.1基本方式导出 2.2模型映射导出 2.3设置行高、列宽等内容 2.4合并单元格 2.5导出设置超链接、批注、公式 2.6模板填充对象导出 2.7模板填…