辉克's Blog

创造机会的人是勇者;等待机会的人是愚者

需要监视的关键事件日志

需要监视的关键事件日志

以下为一些推荐监视的事件日志,如果在您的网络中存在一些其它的关键安全问题,您也可以将它们记录下来进行监视。

Windows
事件ID
Windows Vista事件ID 事件类型 描述
(512 – 516)、(518-520)
(4608 – 4612)、(4614 – 4616)
系统事件

记录本地系统进程,如系统启动和停止,以及对应的系统时间。

517
4612
审计日志被清除

表示清除所有审计日志的事件。

528、540
4624
成功的用户登录

表示所有用户登录的事件。

(529 – 537)、539
4625
登陆失败

表示所有失败的用户登录事件。

538
4634
成功的用户退出

表示所有的用户退出事件。

560、(562 – 568)
4656、(4658 – 4664)
对象访问

表示对指定对象(文件、目录等)的访问事件,它还包括访问的类型(读取、写入、删除),访问的成功与否,以及执行动作的用户。

612
4719
审计策略变更

表示所有在审计策略中执行变更的事件。

(624 – 630)、642、644

4720、(4722 – 4726)、4738、4740

用户账户变更

表示所有与用户账户相关的操作事件,如用户账户的创建、删除、密码变更等。

(631 – 641)、643、(645 – 666)
(4727 – 4737)、(4739 – 4762)
用户组变更

表示所有与用户组相关的操作,如添加、移除全局或本地组,在组中添加或移除成员等。

672、680
4768、4776
成功的用户账户验证

表示成功的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。

675、681
4771、4777
失败的用户账户验证

表示失败的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。

682、683
4778、4779
主机会话状态

表示会话重新连接或断开连接的事件。

除了以上相关的安全事件以外,您还可以为关键的应用和系统资源启用和追踪记录。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注