如何查询电脑日志命令

窗户: 事件查看器:eventvwr.msc。
提示:eventquery /level:info。
Linux: dmesg: dmesg |抓取信息。
系统日志:journalctl -xe。
尾部:尾部-n 5 0 /var/log/syslog.
Mac操作系统: 控制台:打开控制台应用程序。
终端:log show --predicate 'eventMessage 包含错误'。

Windows系统日志分析_windows日志命令

说白了,Windows系统日志分析的核心就是利用事件查看器+策略配置,了解事件ID来验证操作行为。

扩展一下:关于远程桌面登录(mstsc),成功登录会生成三个事件,但最关键的是事件ID4 6 4 8 (显式凭据登录)。
在我们去年跑的项目中,6 0%的异常登录是由批处理脚本触发的。
还有一点就是检查远程桌面连接客户端IP的路径,包括TerminalServices-LocalSessionManager和TerminalServices-RemoteConnectionManager。
记得搜索事件ID 4 6 2 4 登录类型为1 0,表示远程登录。
等等,还有别的事。
喷射行为尤其引人注目。
大量的 4 6 2 5 失败与 4 6 2 4 成功混合在一起,可以看到 1 0 台机器突然显示 9 个登录失败和 1 个成功的异常。

UAC管理员登录这个东西的时候,consent.exe进程是关键。
每次用户单击“是”时,都会生成三个事件。
其中最常见的是事件 ID 4 6 7 2 ,它分配新的登录权限。
去年的审计发现,使用运维账号登录会触发此问题,但没有人注意到这个ID实际上可以逆转提权操作。

mimikatzsekurlsa::ekeys 是最难的操作。
默认情况下不生成安全日志。
说实话,这确实是一个诡计。
但是一旦启用“审核权限使用”,您可以看到 SeTcbPrivilege 权限被滥用。
我们测试发现,使用该命令时,文件系统访问告警和权限使用告警几乎同时出现,说明该操作与提权后操作有直接关系。

建议下次看日志时,带上计算器,统计一下事件ID 4 6 2 5 和4 6 2 4 的比例,如果异常比例超过1 %,就该重点检查了。

windows怎么重启日志代码

重新启动WindowsEventLog服务或指定的应用程序日志服务以解决日志异常。

真实故事:2 01 9 年,某银行系统日志写入失败,SQL Server日志服务重启(MSDN状态)。
图:停止服务最多 5 分钟不会影响系统运行(TechNet 文档)。

不信:你绝对可以不停地解决注册表问题。
不要这样做:在生产高峰期重新启动关键服务。