Server2008R2事件查看器实现日志

1、Server 2008 R2 事件查看器实现日志分析在 windows server 2008 R2 中，可以通过点击 "开始" -> "管理工具" -> "事件查看器" ，来打开并查看各种类型的系统内置日志记录；让我们来做一个实际练习：使用事件查看器检查各种帐户的登录事件，包括系统内置的特殊帐户，以及大家熟悉的 administrator 管理员帐户。一般而言，在启动服务器后，一个叫做 winlogon.exe 的进程会先以 NT AUTHORITYS

2、YSTEM (帐户域帐户权限)登录，然后进入要求用户键入 ctrl + alt + del 并输入帐密的登录界面，此时，winlogon.exe 检查并验证用户的输入，通常的做法是将用户键入的密码以某种哈希算法生成密文，将其与 SAM 数据库文件中的密文进行比对，如果一致则该账户通过验证并登录，然后赋予相应的权限。所有这些过程都会被记录进系统内置的"安全"类型日志，可以通过事件查看器浏览；除了 winlogon.exe 进程外，其它一些系统进程也会在用户登录前，使用特殊帐户先行登录。这些登录事件同样可以在事件查看器中一览无遗

3、，(例如，一个叫做 services.exe 的系统服务进程，使用 NT AUTHORITYSYSTEM (帐户域帐户权限)登录，然后它会创建数个 svchost.exe子进程，而每个 svchost.exe 进程都会启动并纳宿一些基本的 windows 服务，而许多用户空间的应用程序将使用这些服务，实现它们的功能)下面结合图片讲解事件查看器在这两个场景中的应用：一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 "Windows 日志"节点,选取"安全"项目,此时在中间的

4、窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近 24 小时以内的帐户登录与验证,审核,权力指派等事件,可以在"安全"项目上右击鼠标,在弹出的上下文菜单中选择"筛选当前日志(L)"二,在打开的对话框中,切换到"筛选器"标签,在"记录时间(G)"右侧的下拉列表中,选择"近 24 小时",然后点击下方的确定按钮三,显示出筛选的结果,下面这张图显示了在 24 小时内纪录的 73 项安全事件(Microsoft Windows 安全审核是准确的称呼),你可以按照日期与时间列排序事件,或者

5、按照事件ID,任务类别(我觉得翻译成事件类别会比较好理解)来排序时间,我们关注的是"登录"与"特殊登录"事件,因此需要选择以任务类别排序.下图中没有按照任务类别排序,而是默认按照日期与时间排序,其优点是,可以追踪在系统启动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.    通过上面的分析,你是否已经直观地感受到事件查看器的强大功能?下面让我们再看另一个例子:使用事件查看器浏览,因远程过程调用(RPC)服务启动失败,导致我们无法以管理员登录 windows server 200

6、8 R2 的事件记录.先纠正一个普遍存在的错误理解;RPC 监听在本地环回(127.0.0.1)地址的 135 端口,出于安全考虑,很多人会将这个端口关闭,以阻止蠕虫病毒与攻击者入侵,但是我们会发现这个地址上的 135 端口始终关不掉而因此忧心忡忡;其实,127.0.0.1:135 是必须的,如果该端口不打开,则说明 RPC 服务没有启动,从而导致很多依赖 RPC 的其它系统服务无法启动,再说,除非你手动通过 services.msc 服务管理器来禁用它,否则通过其它手段是很难关闭的(包括修改注册表键值),我们真正应该关闭并警惕的,是那些监听在非本地环回的 135 端口,例

7、如 192.168.0.1:135 ,因为这个地址是可以与远程主机的地址通信的,攻击者可以扫描监听在这个地址端口上的程序漏洞,并远程执行恶意代码(通过 Metasploit 即可办到),从而入侵我们的服务器.如果关不掉,也可以使用 windows 高级防火墙来禁止该地址端口上的出入站流量.总之,本地环回的 135 端口是必须打开的,这并非是恶意软件,木马程序开放的端口,否则你连 windows 桌面都无法登录.如果无法登录 windows server 2008 R2 服务器的桌面,并且系统提示 RPC 服务启动失败,无法读取用户 profile ,那么可以进入安全模式,运行 services.msc ,找到其中的 Remote Procedure Call (RPC) 以及 RPC Endpoint Mapper(RpcEptMapper) ,将这两个服务设置为自动启动,然后运行 msconfig ,在"服务&q