21:36
7/3/2011

Opisy zdarzeń w logach Windows

Poniżej linki do obfitych opisów eventów, które możecie znaleźć w logach systemu Windows (Event Log). Na pewno przyda się administratorom, a i pentesterzy się ucieszą ;)

Windows Server Security Event log (komunikaty błędów)

dla Windows NT (miejmy nadzieję, że nie będziecie tego potrzebować):
KB174074 – Security Event Descriptions

dla Windows 2000
KB299475 – Windows 2000 Security Event Descriptions (cz. 1)
KB301677 – Windows 2000 Security Event Descriptions (cz. 2)

dla Windows 2003
Windows 2003 Security Guide, Chapter 4, Audit Policy

dla Windows Vista i późniejszych
KB947226 – Description of security events in Windows Vista and in Windows Server 2008
Security audit events for Microsoft Windows Server 2008 and Microsoft Windows Vista
(ten ostatni jest w “łatwoparsowalnej” formie arkusza kalkulacyjnego)

EventLogs Windows

Event Log, Windows

Michael Starks, który przygotował powyższe zestawienie, w tym temacie poleca również EventID.net oraz Security Log Encyclopedia.

Przeczytaj także:

11 komentarzy

Dodaj komentarz
  1. patrzcie patrzcie, jaki ładny zbieg okoliczności ;) wczoraj ktoś zrobił mi wjazd na firmowy serwerek przez RDC, linki przydadzą się do dokładniejszej analizy. (szkoda że nie ma jakiejś prostej metody getUserDataByIP() ;] )

  2. A ja mam od niedawna zdarzenie błędu o ID 1002 (źródło: Application Hang) o treści:
    Aplikacja zawieszająca iexplore.exe, wersja 8.0.6001.18702, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000.

    Aby znaleźć więcej informacji, zobacz http://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej.

    I co ja mam z tym zrobić? Faktycznie Internet Explorer wiesza się mniej więcej przy co drugim uruchomieniu.

    • Standardowa odpowiedź: zmień przeglądarkę ;)

  3. @Marek: Zrób sobie zrzut IE w momencie zawieszenia a potem Crash Dump Analysis za pomocą windbg – http://pawlos.blogspot.com/2010/09/ie8-crash.html :). Sama przyjemność…

    Paweł

  4. Zdecydowanie polecam wymieniony EventID.net.

    Nawet na oficjalnych stronach (TechNet czy MSDN) przy zawężeniu wyników wyszukiwania do “Events and Errors” to serwis EventID.net pojawia się na pierwszych miejscach (np. http://social.technet.microsoft.com/Search/pl-pl/?query=1002&refinement=82)

  5. A gdzie ID dla XP?

  6. Przeglądanie logów z pojedynczych komputerów jest zbyt pracochłonne. Jest SCOM (http://gigacon.org/system/lectures/attachment1s/1161/original/Joanna_Subik.pdf?1283940867).
    Jakie macie sprawdzone rozwiązania i najlepiej darmowe rozwiązania (zbierające logi z sieci na jeden komputer i dokonującego wstępnej automatycznej analizy, na przykład odpalające jakiś skrypt w określonych okolicznościach)?

    • Sam nie korzystam ale :) “Eventlog to Syslog Utility” potrafi wysyłać logi do sysloga czyli sysloga-ng i rsysloga również.

  7. Dzięki, przydadzą się te linki.

  8. Tak jakby komuś szkodziło, żeby tą 1 dodatkową linijkę tekstu z opisem po prostu system wyświetlał jak się otworzy szczegóły event’a, prawda? :-P

    Wielkie dzięki za linki, z pewnością przydadzą się.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.