今天是5.1,劳动者的节日;今天值班,开展劳动,这里介绍并推荐一个实用小工具:“快速查看windows日志中的远程登陆”。

这个工具是始于18年写的,一直在改进中;设计之初的目的就是方便,一目了然,针对性很强;

上周勘查了一个入侵+勒索的现场,在现场中使用windows自带的事件查看器Eventvwr,再次感受到难受,太不方便了,还是用这个工具爽;在再次进行修缮后,向大家推荐她。

    一、Windows事件日志

对Windows的事件日志,我们是再清楚不过了,从XP开始到现在所有windows系统,没有不知道不重视的,逢安全检查时是必查项目;在日志中最重要的、我们最关心的,就是远程登陆的问题,因为涉及到登录者的IP;但用windows自带的查看工具,查看起来非常得别扭,很不方便;所以在此基础上设计了这个查看工具,特色是针对远程登录进行了单独罗列,简单方便。

程序的特色功能介绍:“特色:专为安全事件中的【远程登陆】而来。发现:安全事件--->远程登陆 --> 右侧Message区中红色字样出现”。

二、程序使用说明

 1、首先,copy到要获取的机器上,并用管理员权限运行;

windows远程登录docker windows远程登录事件id_查看远程又没人登录

2、本机在线读取:

windows远程登录docker windows远程登录事件id_查看远程又没人登录_02

  我这里是Win10的,读取出这些子系统日志;

     3、双击子系统日志项

windows远程登录docker windows远程登录事件id_windows日志 重要事件 id_03

    将除了“Security”日志以外的日志内容全部放入“【一般-General】页”中,没有单列;

4、Security日志:

windows远程登录docker windows远程登录事件id_查看远程又没人登录_04

“【安全-Security】页”中列出的是系统安全类;

windows远程登录docker windows远程登录事件id_windows日志 重要事件 id_05

在这里,我用红色列出了所有的登录的日志,以示区别;

windows远程登录docker windows远程登录事件id_查看远程又没人登录_06

在Windows日志中记载了这几种登陆到系统中的类型,我全部列了出来,我们再也不用记那些个“Win2003(528:登陆成功;538:注销成功;);Win10(4624:登陆成功;4625:登陆失败;4672:超级用户登陆;4634/4647:注销成功)”之类的事件ID了,我也记不住;

在这其中,我们尤其要关注红框中的“类型为10”的远程登陆,这才是远程到我们服务器上来的,一般入侵案件中远程登陆上来的都会在这里显示;

windows远程登录docker windows远程登录事件id_windows事件id大全_07

我们来看一条登陆日志,发现这个是登录类型为“5:服务”,这是服务启动起来的登陆,没关系;

windows远程登录docker windows远程登录事件id_查看远程又没人登录_08

    上图就是从远程登录过来的,是不是看起来很方便;