服务器事件查看器问题集Word格式文档下载.docx
《服务器事件查看器问题集Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《服务器事件查看器问题集Word格式文档下载.docx(40页珍藏版)》请在冰豆网上搜索。
事实上,大部分时间记录下来的系统事件,都是一些流水账,随着时间的增加,系统日志的个头也会不断膨胀,当达到事先设置的日志大小后,会停止记录新的事件,因此我们需要定期释放多余的日志。
选中需要清除的日志,然后从“操作”菜单中选择“清除所有事件”,此时会弹出图4所示的对话框询问是需要将当前日志保存下来,选择“是”会在清除之前将日志保存下来,选择“否”将永久丢弃当前事件记录,并开始记录新的事件。
假如你觉得如果操作太繁琐的话,可以在活动日志的“属性”对话框中,选择“不改写事件(手动清除日志)”,可以看到默认设置的“最大日志文件大小”只有512KB,我们可以根据实际情况重新设置这个值,以后当日志达到一定的大小或出现提示日志已满的信息时,系统会自动清除日志;
或者选择“按需要改写事件”,这样可以确保在日志写满时也能够将所有的新事件写入日志,当然如此一来的话,新日志会自动覆盖旧日志。
不过,需要说明的,用户需要以管理员或Administrators组成员的身份登录系统才能拥有足够的权限清除或改写事件日志。
或者,你也可以进入\WINDOWS\SYSTEM32\config\文件夹,其中以*.evt作为扩展名的文件就是所谓的日志文件,AppEvent.evt即“应用程序”日志,SysEvent.evt即“系统”日志,SecEvent.evt即“安全性”日志,直接在这里删除相应的文件就可以了,不过如果你使用的是NTFS格式的系统,在删除日志文件之前必须首先关闭事件检查器服务才行。
除了使用“事件查看器”管理事件日志外,我们也可以使用命令行工具来创建和查询事件日志,以及使程序与特殊的日志事件关联,例如“Eventcreate.exe”可创建自定义的事件日志,“Eventquery.vbs”可从一个或多个事件日志中列出事件和事件属性,“Eventtriggers.exe”可创建事件触发器,这样当特定事件日志发生时将自动执行相应的程序,从而弥补了事件查看器无法实时跟踪可疑事件的不足,感兴趣的朋友们不妨试试。
---------------------------------------
审核WINDOWS安全日志
安全日志是非常重要的系统记录器,不论是自己的操作还是别人远程恶意的操作都可以通过安全日志来体现出来,虽然现在的杀软已经反间谍软件已经很成熟了,但这并不代表你的系统就固若金汤,如果别人在你不注意的情况下悄悄的进入了你的电脑,而杀软却没有反应,如果揪出真凶呢?
那么就要从安全日志下手了.
登录类型
登录类型2:
交互式登录(INTERACTIVE)
本地键盘上的登录,基于网络上的KVM登录也是这种类型!
登录类型3:
网络(NETWORK)
当你从网络上访问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机!
登录类型4:
批处理(BATCH)
运行计划任务是产生的记录类型..也可能是HACKER通过它来猜测用户密码!
登录类型5:
服务(SERVICE)
一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话,记为类型5!
登录类型7:
解锁(UNLOOK)
解除锁定的PC密码,比如对屏保密码的解除操作!
登录类型8:
网络明文(NETWORKCLEARTEXT)
网络明文传输!
登录类型9:
新凭证(NEWCREDENTIALS)
登录类型10:
远程交互(REMOTEINTERACTIVE)
通过终端服务,远程桌面,或远程协约访问PC时,WINDOWS记为类垀?
10!
登录类型11:
缓存交互(CACHEDINTERACTIVE)
安全事件日志中的事件编号与描述
........................................................................................
帐号登录事件
........................
(事件编号与描述)
672身份验证服务(AS)票证得到成功发行与验证。
673票证授权服务(TGS)票证得到授权。
TGS是一份由Kerberos5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。
674安全主体重建AS票证或TGS票证。
675预身份验证失败。
这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成。
676身份验证票证请求失败。
这种事件在WindowsXPProfessional操作系统或WindowsServer产品家族成员中将不会产生。
677TGS票证无法得到授权。
678指定帐号成功映射到一个域帐号。
681登录失败。
域帐号尝试进行登录。
682用户重新连接到一个已经断开连接的终端服务器会话上。
683用户在没有注销的情况下与终端服务器会话断开连接。
帐号管理事件
......................
624一个用户帐号被创建。
627一个用户密码被修改。
628一个用户密码被设置。
630一个用户密码被删除。
631一个全局组被创建。
632一个成员被添加到特定全局组中。
633一个成员从特定全局组中被删除。
634一个全局组被删除。
635一个新的本地组被创建。
636一个成员被添加到本地组中。
637一个成员从本地组中被删除。
638一个本地组被删除。
639一个本地组帐号被修改。
641一个全局组帐号被修改。
642一个用户帐号被修改。
643一个域策略被修改。
644一个用户帐号被自动锁定。
645一个计算机帐号被创建。
646一个计算机帐号被修改。
647一个计算机帐号被删除。
648一个禁用安全特性的本地安全组被创建。
说明:
正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。
649一个禁用安全特性的本地安全组被修改。
650一个成员被添加到一个禁用安全特性的本地安全组中。
651一个成员从一个禁用安全特性的本地安全组中被删除。
652一个禁用安全特性的本地组被删除。
653一个禁用安全特性的全局组被创建。
654一个禁用安全特性的全局组被修改。
655一个成员被添加到一个禁用安全特性的全局组中。
656一个成员从一个禁用安全特性的全局组中被删除。
657一个禁用安全特性的全局组被删除。
658一个启用安全特性的通用组被创建。
659一个启用安全特性的通用组被修改。
660一个成员被添加到一个启用安全特性的通用组中。
661一个成员从一个启用安全特性的通用组中被删除。
662一个启用安全特性的通用组被删除。
663一个禁用安全特性的通用组被创建。
664一个禁用安全特性的通用组被修改。
665一个成员被添加到一个禁用安全特性的通用组中。
666一个成员从一个禁用安全特性的通用组中被删除。
667一个禁用安全特性的通用组被删除。
668一个组类型被修改。
684管理组成员的安全描述符被设置。
在域控制器上,一个后台线程每60秒将对管理组中的所有成员(如域管理员、企业管理员和架构管理员)进行一次搜索并对其应用一个经过修复的安全描述符。
这种事件将被记录下来。
685一个帐号名称被修改。
审核登录事件
528用户成功登录到计算机上。
529登录失败:
试图使用未知用户名或带有错误密码的已知用户名进行登录。
530登录失败:
试图在允许时间范围以外进行登录。
531登录失败:
试图通过禁用帐号进行登录。
532登录失败:
试图通过过期帐号进行登录。
533登录失败:
试图通过不允许在特定计算机上进行登录的用户帐号进行登录。
534登录失败:
用户试图通过不允许使用的密码类型进行登录。
535登录失败:
针对指定帐号的密码已经过期。
536登录失败:
网络登录服务未被激活。
537登录失败:
由于其它原因导致登录失败。
在某些情况下,登录失败原因可能无法确定。
538针对某一用户的注销操作完成。
539登录失败:
登录帐号在登录时刻已被锁定。
540用户成功登录到网络。
541本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换(IKE)身份验证操作已经完成(建立一条安全关联),或者快速模式已经建立一条数据通道。
542数据通道被中断。
543主模式被中断。
这种事件可能在安全关联时间限制到期(缺省值为8小时)、策略修改或对等客户中断时发生。
544由于对等客户未能提供合法证书或签署未通过验证导致主模式身份骀?
证失败。
545由于Kerberos失败或密码不合法导致主模式身份验证失败。
546由于对等客户发送非法了非法提议,IKE安全关联建立没有成功。
收到一个包含非法数据的数据包。
547IKE握手过程中发生错误。
548登录失败:
来自信任域的安全标识符(SID)与客户端的帐号域SID不匹配。
549登录失败:
在跨域身份验证过程中,所有同非信任名称空间相对应的SID均已被过滤掉。
550能够指示可能发生拒绝服务(DoS)攻击的通知消息。
551用户发起注销操作。
552用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。
这种事件将在用户通过网络与终端服务器会话建立连接时产生。
它将出现在终端服务器上。
对象访问事件
560访问由一个已经存在的对象提供授权。
562一个对象访问句柄被关闭。
563试图打开并删除一个对象。
当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时,这种事件将被文件系统所使用。
564一个保护对象被删除。
565访问由一种已经存在的对象类型提供授权。
567一种与句柄相关联的权限被使用。
一个授予特定权限(读取、写入等)的句柄被创建。
当使用这个句柄时,至多针对所用到的每种权限产生一次审核。
568试图针对正在进行审核的文件创建硬连接。
569身份验证管理器中的资源管理器试图创建客户端上下文。
570客户端试图访问一个对象。
针对对象的每次操作尝试都将产生一个事件。
571客户端上下文被身份验证管理器应用程序删除。
572管理员管理器初始化应用程序。
772证书管理器拒绝了挂起的证书申请。
773证书服务收到重新提交的证书申请。
774证书服务吊销了证书。
775证书服务收到发行证书吊销列表(CRL)的请求。
776证书服务发行了证书吊销列表(CRL)。
777更改了证书申请扩展。
778更改了多个证书申请属性。
779证书服务收到关机请求。
780已开始证书服务备份。
781已完成证书服务备份。
782已开始证书服务还原。
783已完成证书服务还原。
784证书服务已经开始。
785证书服务已经停止。
786证书服务更改的安全权限。
787证书服务检索了存档密钥。
788证书服务尀?
证书导入数据库中。
789证书服务更改的审核筛选。
790证书服务收到证书申请。
791证书服务批准了证书申请并颁发了证书。
792证书服务拒绝证书申请。
793证书服务将证书申请状态设为挂起。
794证书服务更改的证书管理器设置
795证书服务更改的配置项。
796证书服务更改属性。
797证书服务存档了密钥。
798证书服务导入和存档了密钥。
799证书服务将证书发行机构(CA)证书发行到ActiveDirectory。
800从证书数据库删除一行或多行。
801角色分隔被启用。
审核策略更改事件
.............................
608用户权限已被分配。
609用户权限已被删除。
610与另一个域的信任关系已被创建。
611与另一个域的信任关系已被删除。
612审核策略已被更改。
613Internet协议安全性(IPSec)策略代理已经启动。
614IPSec策略代理已被禁用。
615IPSec策略代理已被更改。
616IPSec策略代理遇到一个潜在的严重问题。
617Kerberos5.0版策略已被更改。
618经过加密的数据恢复策略已更改。
620与另一个域的信任关系已被修改。
621系统访问权限已被授予帐号。
622系统访问权限已从帐号中删除。
623审核策略以对等用户为单位进行设置。
625审核策略以对等用户为单位进行刷新。
768检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。
当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时,它将无法明确解析属于这两个名称空间元素的名称。
这种重叠现象也称作冲突。
并非针对每种记录类型的参数均合法。
举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
769添加了受信任的森林信息。
这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。
针对每条添加、删除或修改的记录都将生成一条事件消息。
如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录,生成的所有事件消息都将被分配一个相同且唯一标识符(称作操作编号)。
这种方式使您能够判断出多条事件消息是由一次操作生成的。
举例来说,诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。
770删除了受信任的森林信息。
查看编号为769的事件描述。
771修改了受信任的森林信息。
805事件日志服务读取针对会话的安权限使用事件
权限使用事件
.......................
576特定权限已被添加到用户访问令牌中。
这种事件将在用户登录时产生。
577用户试图执行受到权限保护的系统服务操作。
578在已经处于打开状态的受保护对象句柄上使用权限。
详细跟踪事件
592已经创建新的过程。
593已经退出某过程。
594对象的句柄被重复
595已经取得对象的间接访问权。
596数据保护主密钥备份。
主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统(EFS)所使用。
这种主密钥将在每次创建新增主密钥时予以备份。
(缺省设置为90天。
)密钥备份操作通常由域控制器执行。
597数据保护主密钥已由恢复服务器恢复完毕。
598审核数据已得到保护。
599审核数据保护已取消。
600分派给进程一个主令牌。
601用户尝试安装服务。
602一个计划作业已被创建。
面向审核系统事件的系统事件消息
..........................................................
512正在启动Windows。
513Windows正在关机。
514本地安全机制机构已加载身份验证数据包。
515受信任的登录过程已经在本地安全机制机构注册。
516用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517审核日志已经清除。
518安全帐户管理器已经加载通知数据包。
519一个过程正在试图通过无效本地过程调用(LPC)端口来模拟客户端并针对客户端地址空间执行回复、读取或写入操作。
520系统时间已更改。
这种审核操作通常成对出现
多看看这些东西有助于对系统的了解
ASP错误代码
ASP错误代码(测试网页的时候很有用)
ASP错误代码说明
ASP0100内存不足
ASP0101意外错误
ASP0102需要字符串输入
ASP0103需要数字输入
ASP0104不允许此项操作
ASP0105下标越界
ASP0106类型不匹配
ASP0107堆栈溢出
ASP0108创建对象失败
ASP0109找不到成员
ASP0110未知名称
ASP0111未知接口
ASP0112缺少参数
ASP0113脚本超时
ASP0114非自由线程对象
ASP0115意外错误
ASP0116丢失脚本关闭分隔符
ASP0117丢失脚本关闭标记
ASP0118丢失对象关闭标记
ASP0119丢失Classid或Progid特性
ASP0120无效的Runat特性
ASP0121对象标记中包含无效作用域
ASP0122对象标记中包含无效作用域
ASP0123丢失Id特性
ASP0124丢失Language特性
ASP0125丢失特性的关闭符
ASP0126找不到包含文件
ASP0127丢失了HTML注释的关闭符
ASP0128丢失File或Virtual特性
ASP0129未知的脚本语言
ASP0130无效的File特性
ASP0131不允许的父路径
ASP0132编译错误
ASP0133无效的ClassID特性
ASP0134无效的ProgID特性
ASP0135循环包含
ASP0136无效对象实例名称
ASP0137无效全局脚本
ASP0138嵌套的Script块
ASP0139嵌套的Object
ASP0140Page命令无序
ASP0141Page命令重复
ASP0142线程令牌错误
ASP0143无效的应用程序名
ASP0144初始化错误
ASP0145新建应用程序失败
ASP0146新建会话失败
ASP0147500服务器错误
ASP0148服务器太忙
ASP0149应用程序正在重新启动
ASP0150应用程序目录错误
ASP0151更改通知错误
ASP0152安全错误
ASP0153线程错误
ASP0154写入HTTP头错误
ASP0155写入页内容错误
ASP0156标头错误
ASP0157缓冲已打开
ASP0158丢失URL
ASP0159缓
升级会员 