如何分析Server2008R2的事件查看器实现日志

在 windows server 2008 R2 中,可以通过点击 "开始" -> "管理工具" -> "事件查看器" ,来打开并查看各种类型的系统内置日志记录;让我们来做一个实际练习:使用事件查看器检查各种帐户的登录事件,包括系统内置的特殊帐户,以及大家熟悉的 administrator 管理员帐户。

一般而言,在启动服务器后,一个叫做 winlogon.exe 的进程会先以

NT AUTHORITY\SYSTEM (帐户域帐户权限)登录,然后

进入要求用户键入 ctrl + alt + del 并输入帐密的登录界面,此时,winlogon.exe 检查并验证用户的输入,通常的做法是将用户键入的密码以某种哈希算法生成密文,将其与 SAM 数据库文件中的密文进行比对,如果一致则该账户通过验证并登录,然后赋予相应的权限。

所有这些过程都会被记录进系统内置的"安全"类型日志,可以通过事件查看器浏览;

除了 winlogon.exe 进程外,其它一些系统进程也会在用户登录前,使用特殊帐户先行登录。这些登录事件同样可以在事件查看器中一览无遗,

(例如,一个叫做 services.exe 的系统服务进程,使用 NT AUTHORITY\SYSTEM (帐户域帐户权限)登录,然后它会创建数个 svchost.exe子进程,而每个 svchost.exe 进程都会启动并纳宿一些基本的 windows 服务,而许多用户空间的应用程序将使用这些服务,实现它们的功能)

下面结合图片讲解事件查看器在这两个场景中的应用:

一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 "Windows 日志"节点,选取"安全"项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近 24 小时以内的帐户登录与验证,审核,权力指派等事件,可以在"安全"项目上右击鼠标,在弹出的上下文菜单中选择"筛选当前日志(L)"

二,在打开的对话框中,切换到"筛选器"标签,在"记录时间(G)"右侧的下拉列表中,选择"近 24 小时",然后点击下方的确定按钮

三,显示出筛选的结果,下面这张图显示了在 24 小时内纪录的 73 项安全事件(Microsoft Windows 安全审核是准确的称呼),你可以按照日期与时间列排序事件,或者按照事件ID,任务类别(我觉得翻译成事件类别会比较好理解)来排序时间,

我们关注的是"登录"与"特殊登录"事件,因此需要选择以任务类别排序.

下图中没有按照任务类别排序,而是默认按照日期与时间排序,其优点是,可以追踪在系统启动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.

通过上面的分析,你是否已经直观地感受到事件查看器的强大功能?

下面让我们再看另一个例子:使用事件查看器浏览,因远程过程调用(RPC)服务启动失败,导致我们无法以管理员登录 windows server 2008 R2 的事件记录.

先纠正一个普遍存在的错误理解;

RPC 监听在本地环回(127.0.0.1)地址的 135 端口,出于安全考虑,很多人会将这个端口关闭,以阻止蠕虫病毒与攻击者入侵,但是我们会发现这个地址上的 135 端口始终关不掉而因此忧心忡忡;

其实,127.0.0.1:135 是必须的,如果该端口不打开,则说明 RPC 服务没有启动,从而导致很多依赖 RPC 的其它系统服务无法启动,

再说,除非你手动通过 services.msc 服务管理器来禁用它,否则通过其它手段是很难关闭的(包括修改注册表键值),

我们真正应该关闭并警惕的,是那些监听在非本地环回的 135 端口,例如 192.168.0.1:135 ,因为这个地址是可以与远程主机的地址通信的,攻击者可以扫描监听在这个地址端口上的程序漏洞,并远程执行恶意代码(通过 Metasploit 即可办到),从而入侵我们的服务器.

如果关不掉,也可以使用 windows 高级防火墙来禁止该地址端口上的出入站流量.

总之,本地环回的 135 端口是必须打开的,这并非是恶意软件,木马程序开放的端口,否则你连 windows 桌面都无法登录.

如果无法登录 windows server 2008 R2 服务器的桌面,并且系统提示 RPC 服务启动失败,无法读取用户 profile ,那么可以进入安全模式,运行 services.msc ,找到其中的 Remote Procedure Call (RPC) 以及 RPC Endpoint Mapper(RpcEptMapper) ,将这两个服务设置为自动启动,然后运行 msconfig ,

在"服务"标签中,确保勾选了 RPC Endpoint Mapper ,点确定后重启系统,以正常模式进入,应该就能用管理员账户登录了.

下图给出了一个事件查看器中的一项 RPC 服务启动失败信息:

(0)

相关推荐

  • 怎么清除Win10系统的事件查看器日志

    我们想要将win10系统中的时间查看器日志清除,该怎么操作呢?今天就跟大家介绍一下怎么清除Win10系统的事件查看器日志的具体操作步骤.1. 首先打开电脑,进入桌面,点击左下角的开始图标,在打开的菜单 ...

  • windows8系统的无故自动开机(通过事件查看器分析解决)

    最近电脑很奇怪的经常自动启动,回忆一下时间,似乎并不是传说的自动更新时间(通常情况下默认的时间是凌晨三点钟的自动维护),并且一般情况下我都是自我维护,所以我早就把这个自动维护给关闭了。可是有时候下班回 ...

  • Win10系统上使用事件查看器解决实际问题

    每当系统出现问题,自带的事件查看器都会进行相应的记录。通过事件查看器,我们可以找出问题产生的原因,以及解决方法。下面小编介绍Win10下事件查看器的使用教程。 操作步骤 第一步、按下Win+X组合键, ...

  • 事件查看器如何使用

    一.事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件.软件和系统问题的信息,也可以监视 操作系统中的安全事件.有 ...

  • Windows如何打开和使用事件查看器管理计算机

    不管我们是不是电脑高手,都要学会自己根据Windows自带的"事件查看器"中对应用程序.系统.安全和设置等进程进行分析与管理,如果你的电脑最近频频出现问题或者是难以解决的毛病,那么 ...

  • Win7旗舰版系统快速打开事件查看器的方法

    在Win7事件查看器中,可以看到电脑在运行过程中产生的一系列事情,比如警告、信息、审核成功事件、审核失败事件,应用程序硬件事件的日志摘要等,能够诊断当前系统问题产生的根源,预测潜在的系统问题,是排除系 ...

  • 如何打开事件查看器 win7事件查看器打开及使用方法介绍

    微软在Windows XP/7、8等操作系统中都集成有事件查看器,它可以完成许多特殊的工作,比如审核系统事件和存放系统、安全及应用程序日志等等,而系统日志中存放了Windows操作系统产生的信息、警告 ...

  • Win7中用命令快速打开电脑事件查看器图文教程

    通过事件查看器我们不仅可以查看硬件、系统组件的信息,还可以诊断当前系统问题的根源,预测潜在的系统问题,是排除系统问题的好帮手。今天小编就教大家快速打开事件查看器的方法。 一、按下组合键“win+r”打 ...

  • WinXP下使用事件查看器的方法

    14.4.1 事件查看器 当用户需要查看工作日志时,可进行以下的操作步骤: (1)单击“开始”按钮,选择“控制面板”命令,在打开的“控制面板”窗口单击“管理工具”图标,然后在“管理工具”窗口中双击“事 ...