seci-log 1.04 日志分析增加 windows 日志分析
2015-08-16 21:16
615 查看
本次升级并没有增加新的告警,而是增加了window的日志分析,主要分析了windows的登录日志和操作日志,这两个比较重要的日志类型,其他日志类型可以作为通用的日志收集功能进行存储查询。Windows系统没有自带的功能支持系统日志进行syslog发送,因此需要依赖第三方工具,这里我们推荐一款非常好用的轻量级日志采集模块:Nxlog,在Windows下部署和配置均十分便捷。注:本人测试过2008 ,2003 server,理论上2012也是可以的,其他环境没有测试,如果有问题欢迎到群里咨询。
1、安装Nxlog
从Sourceforge下载最新的 Nxlog,并安装。2、建立配置文件
修改配置文件,默认配置文件位置:C:\Program Files\nxlog\conf\nxlog修改为以下内容,注意要修改实际路径和争取的发送目的的地址。如果想收集全部日志去掉query行。im_msvistalog针对Windows 2008系列,im_mseventlog针对Windows 2003系列。注意和实际环境一致。3、重启Nxlog服务
4、查看日志
如果配置正常,可以在后台安全健康--安全事件中看到如下日志:2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登录" Opcode="信息" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta5、相关告警
密码猜测,非上班时间登录,非上班地点登录,密码猜测成功,账号猜测告警和这些内容相关。相关文章推荐
- C# 抽象类与抽象方法的作用与实例
- uva 11404 dp
- Java实现动态编译的两种方式
- LightOJ 1422 Halloween Costumes 【 区间dp 】
- 字节流与字符流的区别详解
- xampp+dvwa:mysql 意外终止:1067
- ContentProvider
- 【SSH三个框架】Hibernate第十篇基础:inverse属性具体解释
- window.open的小技巧分享
- HDU5391——素数筛——Zball in Tina Town
- 增删改查 T-SQL最基本操作
- 打车应用上马快递业务靠谱吗?
- Android webview 缓存总结
- seci-log 1.03 日志分析软增加web日志分析
- mosfet拾遗
- C中柔性数组(flexible array)的学习
- NYOJ 22-素数求和问题
- Qt5的ListView控件使用心得
- 【CF 460C】Present
- Light Bulb 三分入门题