本文目录导读:
查看电脑(Windows 系统)的安全相关日志,最核心的工具是事件查看器,以下是详细的步骤和方法:
核心方法:使用事件查看器
这是Windows系统内置的最权威的日志查看工具。
-
打开事件查看器:
- 按下
Win + R键,输入eventvwr.msc,然后回车。 - 或者,在开始菜单搜索“事件查看器”并打开。
- 按下
-
定位到安全日志:
- 在左侧导航栏中,依次展开:Windows 日志 -> 安全。
- 安全日志是记录所有安全相关事件(如登录成功/失败、权限使用、对象访问、策略更改等)的地方。
-
筛选和查看:
- 日志可能会非常多,点击右侧操作栏的 “筛选当前日志”。
- 你可以在 <事件ID> 输入框中输入特定数字来快速定位关键事件,以下是最常见的安全事件ID:
事件ID 描述 4624 登录成功 (最常用) 4625 登录失败 (排查暴力破解) 4634 / 4647 注销 4648 使用显式凭据登录 (以管理员身份运行”) 4672 为应用程序或服务分配了特殊权限 (如管理员权限) 4720 创建用户账户 4732 用户被添加到安全组 (如加入管理员组) 4688 新进程创建 (查看具体运行了什么程序) 4698 计划任务被创建 1102 安全日志被清除 (可疑行为) 4719 审核策略被更改 - 举例:如果你想查看最近谁登录失败了,就在筛选器的事件ID里输入
4625,然后点击确定。
-
查看详情:
- 双击任意一条日志,下方会显示详细信息。
- 关键字段:
- 帐户名:使用哪个用户登录。
- 工作站名称:来源计算机。
- 源网络地址 / IP 地址:如果来自网络,会显示源IP。
- 登录类型:
2是本地交互登录,3是网络登录,10是远程桌面登录 (RDP)。
其他常用工具和方法
使用 PowerShell 快速查询 (适合高级用户)
如果你需要快速导出或分析日志,PowerShell 非常高效。
-
查看最近50条登录失败记录:
Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4625 } | Select-Object -First 50 | Format-List -
查看最近24小时内的所有安全事件:
Get-WinEvent -LogName Security -MaxEvents 100 | Where-Object { $_.TimeCreated -gt (Get-Date).AddDays(-1) }
使用“高级安全审核策略” (可选)
如果你发现某些安全事件没有被记录(用户删除了文件但没有日志),可能是因为审核策略未启用。
- 搜索并打开 “本地安全策略” (secpol.msc)。
- 导航到 安全设置 -> 本地策略 -> 审核策略。
- 你可以在这里启用对“审核登录事件”、“审核对象访问”等的记录。注意:开启过多审核会影响性能,建议仅针对关键项启用。
第三方日志分析工具 (适合企业或复杂环境)
如果日志量巨大,手动查看效率低,可以考虑以下工具:
- Microsoft Sysinternals Sysmon:一个强大的驱动级工具,可以记录更详细的进程创建、网络连接和文件创建事件,日志会写入事件查看器。
- EventLog Analyzer (SolarWinds)、LogRhythm、Splunk:专业的日志集中管理和分析平台,支持告警、关联分析和仪表盘。
- Wireshark:主要用于网络层级的数据包分析,而非系统日志,但可辅助排查网络攻击源。
总结与建议
- 日常监控:最常用的是 事件查看器 -> 安全 -> 4625 (登录失败) 和 4624 (登录成功)。
- 安全排查:当怀疑被入侵时,优先检查 1102 (日志被清除)、4720 (新用户创建)、4732 (加入管理员组) 以及 4698 (非工作时间创建的计划任务)。
- 注意:安全日志容量有限,建议在事件查看器右侧操作栏中,将“安全”日志的最大大小(默认可能只有20MB)调至 至少1GB,并选择“按需覆盖事件”以防止日志溢出导致无法记录。
标签: 安全审计日志
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
