今天是5.1,劳动者的节日;今天值班,开展劳动,这里介绍并推荐一个实用小工具:“快速查看windows日志中的远程登陆”。
这个工具是始于18年写的,一直在改进中;设计之初的目的就是方便,一目了然,针对性很强;
上周勘查了一个入侵+勒索的现场,在现场中使用windows自带的事件查看器Eventvwr,再次感受到难受,太不方便了,还是用这个工具爽;在再次进行修缮后,向大家推荐她。
一、Windows事件日志
对Windows的事件日志,我们是再清楚不过了,从XP开始到现在所有windows系统,没有不知道不重视的,逢安全检查时是必查项目;在日志中最重要的、我们最关心的,就是远程登陆的问题,因为涉及到登录者的IP;但用windows自带的查看工具,查看起来非常得别扭,很不方便;所以在此基础上设计了这个查看工具,特色是针对远程登录进行了单独罗列,简单方便。
程序的特色功能介绍:“特色:专为安全事件中的【远程登陆】而来。发现:安全事件--->远程登陆 --> 右侧Message区中红色字样出现”。
二、程序使用说明
1、首先,copy到要获取的机器上,并用管理员权限运行;
2、本机在线读取:
我这里是Win10的,读取出这些子系统日志;
3、双击子系统日志项
将除了“Security”日志以外的日志内容全部放入“【一般-General】页”中,没有单列;
4、Security日志:
“【安全-Security】页”中列出的是系统安全类;
在这里,我用红色列出了所有的登录的日志,以示区别;
在Windows日志中记载了这几种登陆到系统中的类型,我全部列了出来,我们再也不用记那些个“Win2003(528:登陆成功;538:注销成功;);Win10(4624:登陆成功;4625:登陆失败;4672:超级用户登陆;4634/4647:注销成功)”之类的事件ID了,我也记不住;
在这其中,我们尤其要关注红框中的“类型为10”的远程登陆,这才是远程到我们服务器上来的,一般入侵案件中远程登陆上来的都会在这里显示;
我们来看一条登陆日志,发现这个是登录类型为“5:服务”,这是服务启动起来的登陆,没关系;
上图就是从远程登录过来的,是不是看起来很方便;
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
