ServerR事件查看器实现日志研究分析.docx
《ServerR事件查看器实现日志研究分析.docx》由会员分享,可在线阅读,更多相关《ServerR事件查看器实现日志研究分析.docx(10页珍藏版)》请在冰豆网上搜索。
![ServerR事件查看器实现日志研究分析.docx](https://file1.bdocx.com/fileroot1/2023-2/4/0c8f024a-d936-46b3-bd04-125287e677c6/0c8f024a-d936-46b3-bd04-125287e677c61.gif)
ServerR事件查看器实现日志研究分析
Server--R-事件查看器实现日志分析
————————————————————————————————作者:
————————————————————————————————日期:
Server2008R2事件查看器实现日志分析
在 windows server2008R2中,可以通过点击 "开始"->"管理工具"->"事件查看器" ,来打开并查看各种类型的系统内置日志记录;让我们来做一个实际练习:
使用事件查看器检查各种帐户的登录事件,包括系统内置的特殊帐户,以及大家熟悉的administrator管理员帐户。
一般而言,在启动服务器后,一个叫做 winlogon.exe 的进程会先以
NTAUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后
进入要求用户键入ctrl+alt+del并输入帐密的登录界面,此时,winlogon.exe 检查并验证用户的输入,通常的做法是将用户键入的密码以某种哈希算法生成密文,将其与SAM 数据库文件中的密文进行比对,如果一致则该账户通过验证并登录,然后赋予相应的权限。
所有这些过程都会被记录进系统内置的"安全"类型日志,可以通过事件查看器浏览;
除了 winlogon.exe 进程外,其它一些系统进程也会在用户登录前,使用特殊帐户先行登录。
这些登录事件同样可以在事件查看器中一览无遗,
(例如,一个叫做 services.exe 的系统服务进程,使用 NTAUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后它会创建数个 svchost.exe子进程,而每个 svchost.exe 进程都会启动并纳宿一些基本的windows服务,而许多用户空间的应用程序将使用这些服务,实现它们的功能)
下面结合图片讲解事件查看器在这两个场景中的应用:
一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 "Windows日志"节点,选取"安全"项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近24小时以内的帐户登录与验证,审核,权力指派等事件,可以在"安全"项目上右击鼠标,在弹出的上下文菜单中选择"筛选当前日志(L)"
二,在打开的对话框中,切换到"筛选器"标签,在"记录时间(G)"右侧的下拉列表中,选择"近24小时",然后点击下方的确定按钮
三,显示出筛选的结果,下面这张图显示了在24小时内纪录的73项安全事件(MicrosoftWindows安全审核是准确的称呼),你可以按照日期与时间列排序事件,或者按照事件ID,任务类别(我觉得翻译成事件类别会比较好理解)来排序时间,
我们关注的是"登录"与"特殊登录"事件,因此需要选择以任务类别排序.
下图中没有按照任务类别排序,而是默认按照日期与时间排序,其优点是,可以追踪在系统启动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.
通过上面的分析,你是否已经直观地感受到事件查看器的强大功能?
下面让我们再看另一个例子:
使用事件查看器浏览,因远程过程调用(RPC)服务启动失败,导致我们无法以管理员登录windowsserver2008R2的事件记录.
先纠正一个普遍存在的错误理解;
RPC监听在本地环回(127.0.0.1)地址的135端口,出于安全考虑,很多人会将这个端口关闭,以阻止蠕虫病毒与攻击者入侵,但是我们会发现这个地址上的135端口始终关不掉而因此忧心忡忡;
其实,127.0.0.1:
135是必须的,如果该端口不打开,则说明RPC服务没有启动,从而导致很多依赖RPC的其它系统服务无法启动,
再说,除非你手动通过 services.msc 服务管理器来禁用它,否则通过其它手段是很难关闭的(包括修改注册表键值),
我们真正应该关闭并警惕的,是那些监听在非本地环回的135端口,例如192.168.0.1:
135,因为这个地址是可以与远程主机的地址通信的,攻击者可以扫描监听在这个地址端口上的程序漏洞,并远程执行恶意代码(通过Metasploit即可办到),从而入侵我们的服务器.
如果关不掉,也可以使用windows高级防火墙来禁止该地址端口上的出入站流量.
总之,本地环回的135端口是必须打开的,这并非是恶意软件,木马程序开放的端口,否则你连windows桌面都无法登录.
如果无法登录windowsserver2008R2服务器的桌面,并且系统提示RPC服务启动失败,无法读取用户profile,那么可以进入安全模式,运行 services.msc ,找到其中的 RemoteProcedureCall(RPC) 以及 RPCEndpointMapper(RpcEptMapper) ,将这两个服务设置为自动启动,然后运行msconfig,
在"服务"标签中,确保勾选了 RPCEndpointMapper ,点确定后重启系统,以正常模式进入,应该就能用管理员账户登录了.
下图给出了一个事件查看器中的一项RPC服务启动失败信息: