当前位置:   article > 正文

Win 运维 | Windows Server 系统事件日志浅析与日志审计实践_windows server 开启日志审计 重要用户行为 重要安全事件

windows server 开启日志审计 重要用户行为 重要安全事件

2087bdfa6daeb1ac27007093b9a4f0bb.jpeg

78fed64d5180fcd7ee027ac8d16a360e.gif

[ 重剑无锋,大巧不工。]

大家好,我是【WeiyiGeek/唯一极客】一个正在向全栈工程师(SecDevOps)前进的技术爱好者  

作者微信:WeiyiGeeker  
公众号/知识星球:全栈工程师修炼指南  
主页博客: 【 https://weiyigeek.top 】- 为者常成,行者常至。


文章目录

2f2b8316ba2aa690698f6f7cf38df0a3.png

0x00 前言简述

首先,由于企业网络安全等级保护要求以及安全运维工作的需求,企业安全运维人员需要了解企业内各业务系统的安全事件,以便及时发现并处理安全事件。当下在企业中仍有占有一定量的业务运行在 Windows Server 操作系统中,因此了解 Windows 事件日志对于企业安全运维人员来说是十分必要的。

Windows 事件日志是 Windows 系统安全事件以及错误信息记录的地方,可以帮助你识别和解决各种问题,例如,安全认证审核、应用程序崩溃、系统错误等,此外由于等保审计需求,需要配置 Windows 事件的审计功能,并在事件日志存储在本地服务器上的同时,还需上传到企业的中心日志服务器中(Rsyslog、Loki(PLG 技术栈)、Elasticsearch(ELK技术栈)),更有甚者将其载入到 Grafana 可视化,以备后续发生安全事件时,网络安全工程师可以及时的检索日志以溯源跟踪。

所以本文能够帮助你更好地理解和使用 Windows 事件日志,以及让你企业中 Windows 服务器满足等保日志审计要求,让运维更加便利,系统更加的安全,希望大家能多多支持此《#运维从业必学》专栏!

完整原文:Win 运维 | Windows Server 系统事件日志浅析与日志审计实践由于企业网络安全等级保护要求以及安全运维工作的需求,企业安全运维人员需了解企业内各业务系统的安全事件,以便及时发现并处理安全事件。当下仍有一定量的业务运行在Windows操作系统中,因此了解 Windows事件日志对于运维来说是十分必要的.icon-default.png?t=N7T8https://mp.weixin.qq.com/s/00jkh1gHtlsjAIhvyJCevA

本章日志审计实践效果如下图所示:

d542f2130f6930e619ec29d51123e10c.png

weiyigeek.top-自定义用户登录日志记录批处理文件图

67c35be2213967f29a3c90593ca9c027.png

weiyigeek.top-windows中使用Promtail采集审计关键日志图

6faa4fe22952145440200a786f491848.png

weiyigeek.top-使用Grafana检索采集的Windows系统事件日志图

温馨提示:作者最近开通的知识星球,全栈系列从门到实践教程将会逐步同步到星球内(实时更新),加入星球将获得作者在安全、运维、开发(Sec、Ops、Dev)中的所有学习实践笔记,和问题答疑以及远程技术支持,希望大家多多支持!

377c4e856c056ea5153f529aeabbcf1d.jpeg


0x01 日志知识

什么是 Windows 事件日志?

描述:Windows 操作系统在其运行的生命周期中会记录其大量的日志信息,包括:Windows 事件日志(Event Log),IIS 应用日志,FTP 应用日志,Exchange Server 邮件服务日志 以及 MSSQL Server 数据库日志等,并且涵盖了应用程序错误、系统错误等,此外,遇到应用程序频繁崩溃或蓝屏死机(BSOD),Windows 会记录应用程序异常信息,以及在系统崩溃时创建一个日志来记录崩溃原因,便可以追溯问题发生的原因,了解计算机的健康状况,以及排除故障。

此处,Windows 系统内置的三个核心(System,Security 和 Application)事件日志文件,其默认大小均为 20480KB(20MB),记录事件数据超过 20MB 时,默认系统将优先覆盖过期的日志记录,其它应用程序及服务日志默认最大为 1024KB,超过最大限制也优先覆盖过期的日志记录,当然我们可以根据实际需求进行更改,具体修改可继续参考后续章节。

dcc33f9643d223944f2002249afc2ec9.png

weiyigeek.top-通过windows事件查看器安全日志属性配置图

温馨提示:有时错误信息很直观,可以一目了然地帮助我们解决问题(完结撒花

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/632230
推荐阅读
相关标签