?

?

在 windows server 2008 R2 中，可以通過點擊?"開始" -> "管理工具" -> "事件查看器"?，來打開并查看各種類型的系統內置日志記錄；讓我們來做一個實際練習：使用事件查看器檢查各種帳戶的登錄事件，包括系統內置的特殊帳戶，以及大家熟悉的 administrator 管理員帳戶。

一般而言，在啟動服務器后，一個叫做?winlogon.exe?的進程會先以?

NT AUTHORITY\SYSTEM?(帳戶域\帳戶權限)登錄，然后

進入要求用戶鍵入 ctrl + alt + del 并輸入帳密的登錄界面，此時，winlogon.exe?檢查并驗證用戶的輸入，通常的做法是將用戶鍵入的密碼以某種哈希算法生成密文，將其與 SAM 數據庫文件中的密文進行比對，如果一致則該賬戶通過驗證并登錄，然后賦予相應的權限。

所有這些過程都會被記錄進系統內置的"安全"類型日志，可以通過事件查看器瀏覽；

除了?winlogon.exe?進程外，其它一些系統進程也會在用戶登錄前，使用特殊帳戶先行登錄。這些登錄事件同樣可以在事件查看器中一覽無遺，

(例如，一個叫做?services.exe?的系統服務進程，使用?NT AUTHORITY\SYSTEM?(帳戶域\帳戶權限)登錄，然后它會創建數個?svchost.exe子進程，而每個?svchost.exe?進程都會啟動并納宿一些基本的 windows 服務，而許多用戶空間的應用程序將使用這些服務，實現它們的功能)

下面結合圖片講解事件查看器在這兩個場景中的應用：

一,首先按照上述步驟打開事件查看器,在左側窗口中展開?"Windows 日志"節點,選取"安全"項目,此時在中間的窗口會列出自系統安裝以來,記錄的所有安全事件,假設我們要查看最近 24 小時以內的帳戶登錄與驗證,審核,權力指派等事件,可以在"安全"項目上右擊鼠標,在彈出的上下文菜單中選擇"篩選當前日志(L)"

二,在打開的對話框中,切換到"篩選器"標簽,在"記錄時間(G)"右側的下拉列表中,選擇"近 24 小時",然后點擊下方的確定按鈕

三,顯示出篩選的結果,下面這張圖顯示了在 24 小時內紀錄的 73 項安全事件(Microsoft Windows 安全審核是準確的稱呼),你可以按照日期與時間列排序事件,或者按照事件ID,任務類別(我覺得翻譯成事件類別會比較好理解)來排序時間,

我們關注的是"登錄"與"特殊登錄"事件,因此需要選擇以任務類別排序.

下圖中沒有按照任務類別排序,而是默認按照日期與時間排序,其優點是,可以追蹤在系統啟動過程中,哪個系統進程使用哪個系統內置帳戶登錄,并且可以直觀地看出它們之間的先后次序.

?

?

?

?

通過上面的分析,你是否已經直觀地感受到事件查看器的強大功能?

下面讓我們再看另一個例子:使用事件查看器瀏覽,因遠程過程調用(RPC)服務啟動失敗,導致我們無法以管理員登錄 windows server 2008 R2 的事件記錄.

先糾正一個普遍存在的錯誤理解;

RPC 監聽在本地環回(127.0.0.1)地址的 135 端口,出于安全考慮,很多人會將這個端口關閉,以阻止蠕蟲病毒與攻擊者入侵,但是我們會發現這個地址上的 135 端口始終關不掉而因此憂心忡忡;

其實,127.0.0.1:135 是必須的,如果該端口不打開,則說明 RPC 服務沒有啟動,從而導致很多依賴 RPC 的其它系統服務無法啟動,

再說,除非你手動通過?services.msc?服務管理器來禁用它,否則通過其它手段是很難關閉的(包括修改注冊表鍵值),

我們真正應該關閉并警惕的,是那些監聽在非本地環回的 135 端口,例如 192.168.0.1:135 ,因為這個地址是可以與遠程主機的地址通信的,攻擊者可以掃描監聽在這個地址端口上的程序漏洞,并遠程執行惡意代碼(通過 Metasploit 即可辦到),從而入侵我們的服務器.

如果關不掉,也可以使用 windows 高級防火墻來禁止該地址端口上的出入站流量.

總之,本地環回的 135 端口是必須打開的,這并非是惡意軟件,木馬程序開放的端口,否則你連 windows 桌面都無法登錄.

如果無法登錄 windows server 2008 R2 服務器的桌面,并且系統提示 RPC 服務啟動失敗,無法讀取用戶 profile ,那么可以進入安全模式,運行?services.msc?,找到其中的?Remote Procedure Call (RPC)?以及?RPC Endpoint Mapper(RpcEptMapper)?,將這兩個服務設置為自動啟動,然后運行 msconfig ,

在"服務"標簽中,確保勾選了?RPC Endpoint Mapper?,點確定后重啟系統,以正常模式進入,應該就能用管理員賬戶登錄了.

下圖給出了一個事件查看器中的一項 RPC 服務啟動失敗信息:

?

?

?http://www.2cto.com/Article/201501/368084.html

總結

以上是生活随笔為你收集整理的Server 2008 R2 事件查看器实现日志分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。