Windows Event Log
目錄
Event Log Location
%SystemRoot%\System32\winevt\Logs\
三種主要取得 Event Log 的方法:
- Event Viewer (GUI-based application)
- Wevtutil.exe (command-line tool)
- Get-WinEvent (PowerShell cmdlet)
常使用的 Log
- Security.evtx
- System.evtx
- Application.evtx
- Windows PowerShell.evtx
- Microsoft-TerminalServices-LocalSessionmanager%3Operational.evtx
特殊狀況Log
- MSExchange Management.evtx
- IIS Log
- FireWall Log
Log 說明
-
System.evtx
在 System 中有主機運作的相關訊息。
-
Security.evtx
在 Security Log 中有主機的 Login/Logout 資訊,還有其他 Security 相關的 log。
-
Application.evtx
Application log
-
Windows PowerShell.evtx
在 Windows PowerShell 中有 PowerShell 執行的相關訊息。
%SystemRoot%\System32\winevt\ Logs\Microsoft-Windows-PowerShell%4Operational.evtx
windows rdp
-
Microsoft-TerminalServices-LocalSessionmanager%3Operational.evtx
MSExchange Management log 記錄了 Exchange 的操控行為,如果需調查的主機是 Exchange Server,此 Log 可能會有一些弱點被利用的資訊。
-
MSExchange Management.evtx
如果有 Exchange 可以參考這個 Log
Windows Defender Firewall log
在Windows Defender Firewall 中設定 win + r 執行 wf.msc 開啟defender firewall
%systemroot%\system32\LogFiles\Firewall\pfirewall.log
參考網站
查詢稽核原則
Auditpol /get /category:*
設定稽核原則
auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable
IIS Log 位置
%SystemDrive%\inetpub\logs\LogFiles