29 12 2015
需要监视的关键事件日志
需要监视的关键事件日志
以下为一些推荐监视的事件日志,如果在您的网络中存在一些其它的关键安全问题,您也可以将它们记录下来进行监视。
| Windows 事件ID |
Windows Vista事件ID | 事件类型 | 描述 |
|---|---|---|---|
|
(512 – 516)、(518-520)
|
(4608 – 4612)、(4614 – 4616)
|
系统事件
|
记录本地系统进程,如系统启动和停止,以及对应的系统时间。
|
|
517
|
4612
|
审计日志被清除
|
表示清除所有审计日志的事件。
|
|
528、540
|
4624
|
成功的用户登录
|
表示所有用户登录的事件。
|
|
(529 – 537)、539
|
4625
|
登陆失败
|
表示所有失败的用户登录事件。
|
|
538
|
4634
|
成功的用户退出
|
表示所有的用户退出事件。
|
|
560、(562 – 568)
|
4656、(4658 – 4664)
|
对象访问
|
表示对指定对象(文件、目录等)的访问事件,它还包括访问的类型(读取、写入、删除),访问的成功与否,以及执行动作的用户。
|
|
612
|
4719
|
审计策略变更
|
表示所有在审计策略中执行变更的事件。
|
|
(624 – 630)、642、644
|
4720、(4722 – 4726)、4738、4740
|
用户账户变更
|
表示所有与用户账户相关的操作事件,如用户账户的创建、删除、密码变更等。
|
|
(631 – 641)、643、(645 – 666)
|
(4727 – 4737)、(4739 – 4762)
|
用户组变更
|
表示所有与用户组相关的操作,如添加、移除全局或本地组,在组中添加或移除成员等。
|
|
672、680
|
4768、4776
|
成功的用户账户验证
|
表示成功的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。
|
|
675、681
|
4771、4777
|
失败的用户账户验证
|
表示失败的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。
|
|
682、683
|
4778、4779
|
主机会话状态
|
表示会话重新连接或断开连接的事件。
|
除了以上相关的安全事件以外,您还可以为关键的应用和系统资源启用和追踪记录。
excel随机生成数字或者字母 禁止不安全的php函数(php.ini)