Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析---【蘇小沐】
(一)Windows日志基础
1.Windows日志查看方法
【路径:事件查看器->Windows日志】
(1)搜索框直接搜索"事件查看器"打开。
(2)快捷键"Window+R"运行输入"eventvwr"或"eventvwr.msc"可打开"事件查看器"界面。
2.Windows日志记录类型
通过系统自带的事件查看器可查看Windows日志文件每个记录事件的数据结构一般包含9个元素:来源(S)、记录时间(D)、事件ID(E)、任务类别(Y)、级别(L)、关键字(K)、用户(U)、计算机(R)、操作代码(O)。
3.Windows日志数据大小
Windows系统内置"System(系统)、Security(安全)、Application(应用、程序)"的三个核心日志文件默认大小均为20480KB(约20MB),当日志文件数据记录超过20MB时会覆盖掉过期的日志记录;其他的应用程序以及服务日志默认大小均为1028KB(约1MB),默认超过这个大小同样按需要覆盖事件(旧事件优先覆盖)。
【路径:事件查看器->Windows日志->应用程序->属性】
点击即可查看到应用程序日志属性默认的设置参数,即日志路径、创建时间、修改时间、访问时间、日志最大大小、达到事件日志覆盖阀值等操作等。
4.Windows日志储存位置
【%SystemRoot%\System32\winevt\Logs】
%SystemRoot%:指代操作系统的"系统目录"或者"根目录",默认系统安装是在C盘;可以通过输入cmd命令"echo %systemroot%"查看,win7之后一般是"C:\Windows"。
【Windows 2000 / Server2003 / Windows XP安全日志默认位置:C:\WINDOWS\System32\config\SecEvent.Evt】
所以Windows11的Windows日志默认存放位置为【C:\Windows\System32\winevt\Logs】
5.Windows日志导出类型
Windows日志导出/保存类型有"evtx、xml、txt、csv"四种,默认存储evtx格式,可以选择全部导出或者单条日志文件导出。
支持保存的类型。
总结
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【日志分析】自动获取资源合集,如链接失效请留言,便于及时更新。
【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 蘇小沐所有】
【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】
关注我,了解更多取证知识,别忘了点赞+