Windows event logs consist of Application, Security, Setup, System, and Forwarded Events.
Windoes 事件檢視器 可以打開.evtx檔 內容存在 Saved Logs
Event
每個事件都包含以下元素
Log Name
the name of the event like Application or System
Source
The software that logged the event
Event ID
A unique number for the event
like “4625” for loggin failed
Task Category
The name that help to understand the purpose of event
Level
How import the event
like “Information” or “error”
Keyword
The tag that help to classfi
like “Audit Success”
User
The user that logged when event
OpCode
The field that can identify the event
Logged
The date and time of the event
Computer
The name of the computer
XML
All of above information XML
Custom XML Search
“Filter Current Log” > “SML” > “Edit Query Manually”
Useful Windows Event Logs
windows system log
1102
清除審計日誌
1074
系統關機或重新啟動
4624
登入成功
4625
登入失敗
4607
Auditing settings on object were changed
When SACL(Register Key or File)was changed
6005
事件日誌服務啟動
6006
事件日誌服務停止
6013
此事件每天出現一次
顯示系統運行時間
如果運行時間比較短代表有被開關機過
7040
服務控制管理員(Service Control Manager) 記錄到服務狀態的變更
windows security log
1102
審計日誌被清除
1116
惡意軟體被偵測
1118
開始移除惡意軟體
1119
惡意軟體移除成功
1120
惡意軟體移除失敗
4624
登入成功
4625
登入失敗
4648
當使用者使用憑證登入
可能代表攻擊者正在水平移動
4656
當有對物件的請求
預設關閉
- 啟用稽核策略 (Enable Audit Policy):
- 打開「群組原則編輯器」(gpedit.msc)。
- 導覽至 電腦設定 → Windows 設定 → 安全性設定 → 進階稽核原則設定 → 稽核原則 → 物件存取。
- 找到「稽核控制代碼操作 (Audit Handle Manipulation)」這一項,設定為稽核「成功」和「失敗」。
- *在特定物件上設定稽核 (Configure SACL on the Object):
- 光啟用原則還不夠,你還需要告訴 Windows 你想監控哪些物件。
- 以一個檔案或資料夾為例:
- 在檔案上按右鍵 → 內容 → 安全性 標籤 → 進階。
- 切換到 稽核 標籤,點擊 新增。
- 選擇一個主體(例如 Everyone 或特定使用者),然後選擇你想稽核的權限(例如 讀取、寫入、刪除 等)。
- 這就是設定系統存取控制清單 (System Access Control List, SACL)。
4672
當有帳號以管理員權限登入
4698
當排程被建立
4700/4701
排程被啟用/停用
4702
排程被更新
4719
審計策略變更
4738
帳號被變更
包括權限 群組 設定被變更都會觸發
4771
Kerbros登入失敗
4776
The domain controller attempted to validate the credentials for an account
5001
Antivirus real-time protection configuration has changed
Maybe someone want to disable Defender
5140
network share object was access
5142
network share object was add
5145
someone want to check the network share
5157
windows block a connection
7045
service was installed