Mar
09
2021
Windows系统的ECS实例中安全审计日志简要说明
概述
本文主要介绍在Windows系统的ECS实例中安全审计日志的相关内容。
详细信息
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
日志示例
- 单击控制面板>管理工具>事件查看器>Windows日志>安全。
-
以下是审核成功和失败的日志示例。
-
审核成功的日志示例如下。
已成功登录账户 主题: 安全 ID: SYSTEM 帐户名: iZ********Z$ 帐户域: WORKGROUP 登录 ID: 0x3e7 登录类型: 10 新登录: 安全 ID: iZ********Z\admin 帐户名: admin 帐户域: iZ********Z 登录 ID: 0x754404f 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0xf50 帐户名: C:\Windows\System32\winlogon.exe 网络信息: 工作站名: iZ23kpfre8lZ 源网络地址: 42.120.*.* 源端口: 10694 详细身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 在创建登录会话后在被访问的计算机上生成此事件。
-
审核失败的日志示例如下。
帐户登录失败。 主题: 安全 ID: NULL SID 帐户名: - 帐户域: - 登录 ID: 0x0 登录类型: 3 登录失败的帐户: 安全 ID: NULL SID 帐户名: administrator 帐户域: Public-Win7 失败信息: 失败原因: 未知用户名或密码错误。 状态: 0xc000006d 子状态: 0xc0000064 进程信息: 调用方进程 ID: 0x0 调用方进程名: - 网络信息: 工作站名: Piblic-WIN7 源网络地址: - 源端口: - 详细身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 登录请求失败时在尝试访问的计算机上生成此事件。
-
审核成功的日志示例如下。
日志说明
相关日志常见字段说明如下所示。
系统登录日志分析
查看系统登录日志时,重点关注以下字段信息。
•事件ID:4624(登录成功)和4625(登录失败)。 •登录类型:根据登录类型分析登录操作来源。 •账户名:登录操作时使用的账户名。 •源网络地址:登录操作来源IP。 •进程信息:登录操作调用的进程。
常见安全事件ID说明
Windows Server 2008系统内常见的安全事件ID及说明请参见以下文档。
日志审计策略调整
相关日志审计策略由Windows注册表管控,可以通过以下方式按需调整。
- 单击开始>运行,输入gpedit.msc,打开组策略管理器。
- 单击计算机管理>Windows设置>安全设置>本地策略>审核策略。
-
在页面右侧调整相应的审核策略。
如果您有其他问题,可以联系汉中创云互联阿里云代理商,为您提供一对一专业全面的技术服务,同时新老阿里云会员,均可享受我公司代理商价格,欢迎咨询!
本公司销售:阿里云、腾讯云、百度云、天翼云、金山大米云、金山企业云盘!可签订合同,开具发票。
我有话说: