Server 2008 R2 事件查看器实现日志分析

时间:2024-04-14 22:58:55

 


 

windows server 2008 R2 中,可以通过点击 "开始" -> "管理工具" -> "事件查看器" ,来打开并查看各种类型的系统内置日志记录;让我们来做一个实际练习:使用事件查看器检查各种帐户的登录事件,包括系统内置的特殊帐户,以及大家熟悉的 administrator 管理员帐户。

一般而言,在启动服务器后,一个叫做 winlogon.exe 的进程会先以 

NT AUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后

进入要求用户键入 ctrl + alt + del 并输入帐密的登录界面,此时,winlogon.exe 检查并验证用户的输入,通常的做法是将用户键入的密码以某种哈希算法生成密文,将其与 SAM 数据库文件中的密文进行比对,如果一致则该账户通过验证并登录,然后赋予相应的权限。

所有这些过程都会被记录进系统内置的"安全"类型日志,可以通过事件查看器浏览;

除了 winlogon.exe 进程外,其它一些系统进程也会在用户登录前,使用特殊帐户先行登录。这些登录事件同样可以在事件查看器中一览无遗,

(例如,一个叫做 services.exe 的系统服务进程,使用 NT AUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后它会创建数个 svchost.exe子进程,而每个 svchost.exe 进程都会启动并纳宿一些基本的 windows 服务,而许多用户空间的应用程序将使用这些服务,实现它们的功能)

下面结合图片讲解事件查看器在这两个场景中的应用:

一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 "Windows 日志"节点,选取"安全"项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近 24 小时以内的帐户登录与验证,审核,权力指派等事件,可以在"安全"项目上右击鼠标,在弹出的上下文菜单中选择"筛选当前日志(L)"

二,在打开的对话框中,切换到"筛选器"标签,在"记录时间(G)"右侧的下拉列表中,选择"近 24 小时",然后点击下方的确定按钮

三,显示出筛选的结果,下面这张图显示了在 24 小时内纪录的 73 项安全事件(Microsoft Windows 安全审核是准确的称呼),你可以按照日期与时间列排序事件,或者按照事件ID,任务类别(我觉得翻译成事件类别会比较好理解)来排序时间,

我们关注的是"登录"与"特殊登录"事件,因此需要选择以任务类别排序.

下图中没有按照任务类别排序,而是默认按照日期与时间排序,其优点是,可以追踪在系统启动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.



 


 

 

 

通过上面的分析,你是否已经直观地感受到事件查看器的强大功能?

下面让我们再看另一个例子:使用事件查看器浏览,因远程过程调用(RPC)服务启动失败,导致我们无法以管理员登录 windows server 2008 R2 的事件记录.

先纠正一个普遍存在的错误理解;

RPC 监听在本地环回(127.0.0.1)地址的 135 端口,出于安全考虑,很多人会将这个端口关闭,以阻止蠕虫病毒与攻击者入侵,但是我们会发现这个地址上的 135 端口始终关不掉而因此忧心忡忡;

其实,127.0.0.1:135 是必须的,如果该端口不打开,则说明 RPC 服务没有启动,从而导致很多依赖 RPC 的其它系统服务无法启动,

再说,除非你手动通过 services.msc 服务管理器来禁用它,否则通过其它手段是很难关闭的(包括修改注册表键值),

我们真正应该关闭并警惕的,是那些监听在非本地环回的 135 端口,例如 192.168.0.1:135 ,因为这个地址是可以与远程主机的地址通信的,攻击者可以扫描监听在这个地址端口上的程序漏洞,并远程执行恶意代码(通过 Metasploit 即可办到),从而入侵我们的服务器.

如果关不掉,也可以使用 windows 高级防火墙来禁止该地址端口上的出入站流量.

总之,本地环回的 135 端口是必须打开的,这并非是恶意软件,木马程序开放的端口,否则你连 windows 桌面都无法登录.

如果无法登录 windows server 2008 R2 服务器的桌面,并且系统提示 RPC 服务启动失败,无法读取用户 profile ,那么可以进入安全模式,运行 services.msc ,找到其中的 Remote Procedure Call (RPC) 以及 RPC Endpoint Mapper(RpcEptMapper) ,将这两个服务设置为自动启动,然后运行 msconfig ,

在"服务"标签中,确保勾选了 RPC Endpoint Mapper ,点确定后重启系统,以正常模式进入,应该就能用管理员账户登录了.

下图给出了一个事件查看器中的一项 RPC 服务启动失败信息:

 

 

 http://www.2cto.com/Article/201501/368084.html