ServerR事件查看器实现日志研究分析.docx

ServerR事件查看器实现日志研究分析.docx

《ServerR事件查看器实现日志研究分析.docx》由会员分享，可在线阅读，更多相关《ServerR事件查看器实现日志研究分析.docx（10页珍藏版）》请在冰豆网上搜索。

ServerR事件查看器实现日志研究分析

Server--R-事件查看器实现日志分析

————————————————————————————————作者：

————————————————————————————————日期：

Server2008R2事件查看器实现日志分析

在 windows server2008R2中，可以通过点击 "开始"->"管理工具"->"事件查看器" ，来打开并查看各种类型的系统内置日志记录；让我们来做一个实际练习：

使用事件查看器检查各种帐户的登录事件，包括系统内置的特殊帐户，以及大家熟悉的administrator管理员帐户。

一般而言，在启动服务器后，一个叫做 winlogon.exe 的进程会先以 

NTAUTHORITY\SYSTEM （帐户域\帐户权限）登录，然后

进入要求用户键入ctrl+alt+del并输入帐密的登录界面，此时，winlogon.exe 检查并验证用户的输入，通常的做法是将用户键入的密码以某种哈希算法生成密文，将其与SAM 数据库文件中的密文进行比对，如果一致则该账户通过验证并登录，然后赋予相应的权限。

所有这些过程都会被记录进系统内置的"安全"类型日志，可以通过事件查看器浏览；

除了 winlogon.exe 进程外，其它一些系统进程也会在用户登录前，使用特殊帐户先行登录。

这些登录事件同样可以在事件查看器中一览无遗，

（例如，一个叫做 services.exe 的系统服务进程，使用 NTAUTHORITY\SYSTEM （帐户域\帐户权限）登录，然后它会创建数个 svchost.exe子进程，而每个 svchost.exe 进程都会启动并纳宿一些基本的windows服务，而许多用户空间的应用程序将使用这些服务，实现它们的功能）

下面结合图片讲解事件查看器在这两个场景中的应用：

一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 "Windows日志"节点,选取"安全"项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近24小时以内的帐户登录与验证,审核,权力指派等事件,可以在"安全"项目上右击鼠标,在弹出的上下文菜单中选择"筛选当前日志（L）"

二,在打开的对话框中,切换到"筛选器"标签,在"记录时间（G）"右侧的下拉列表中,选择"近24小时",然后点击下方的确定按钮

三,显示出筛选的结果,下面这张图显示了在24小时内纪录的73项安全事件（MicrosoftWindows安全审核是准确的称呼）,你可以按照日期与时间列排序事件,或者按照事件ID,任务类别（我觉得翻译成事件类别会比较好理解）来排序时间,

我们关注的是"登录"与"特殊登录"事件,因此需要选择以任务类别排序.

下图中没有按照任务类别排序,而是默认按照日期与时间排序,其优点是,可以追踪在系统启动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.

通过上面的分析,你是否已经直观地感受到事件查看器的强大功能?

下面让我们再看另一个例子:

使用事件查看器浏览,因远程过程调用（RPC）服务启动失败,导致我们无法以管理员登录windowsserver2008R2的事件记录.

先纠正一个普遍存在的错误理解;

RPC监听在本地环回（127.0.0.1）地址的135端口,出于安全考虑,很多人会将这个端口关闭,以阻止蠕虫病毒与攻击者入侵,但是我们会发现这个地址上的135端口始终关不掉而因此忧心忡忡;

其实,127.0.0.1:

135是必须的,如果该端口不打开,则说明RPC服务没有启动,从而导致很多依赖RPC的其它系统服务无法启动,

再说,除非你手动通过 services.msc 服务管理器来禁用它,否则通过其它手段是很难关闭的（包括修改注册表键值）,

我们真正应该关闭并警惕的,是那些监听在非本地环回的135端口,例如192.168.0.1:

135,因为这个地址是可以与远程主机的地址通信的,攻击者可以扫描监听在这个地址端口上的程序漏洞,并远程执行恶意代码（通过Metasploit即可办到）,从而入侵我们的服务器.

如果关不掉,也可以使用windows高级防火墙来禁止该地址端口上的出入站流量.

总之,本地环回的135端口是必须打开的,这并非是恶意软件,木马程序开放的端口,否则你连windows桌面都无法登录.

如果无法登录windowsserver2008R2服务器的桌面,并且系统提示RPC服务启动失败,无法读取用户profile,那么可以进入安全模式,运行 services.msc ,找到其中的 RemoteProcedureCall（RPC） 以及 RPCEndpointMapper（RpcEptMapper） ,将这两个服务设置为自动启动,然后运行msconfig,

在"服务"标签中,确保勾选了 RPCEndpointMapper ,点确定后重启系统,以正常模式进入,应该就能用管理员账户登录了.

下图给出了一个事件查看器中的一项RPC服务启动失败信息: