Thursday, March 4, 2021

Windows Event Viewer

Windows Event Viewer

หัวข้อต่างๆ จะบอกรายละเอียดและอธิบายถึงเหตุการณ์ต่างๆ ดังนี้

Date: คือวันที่เกิดเหตุการณ์
Time: คือเวลาที่เกิดเหตุการณ์
Source: คือแหล่งที่มาของเหตุการณ์
Category: คือประเภทของเหตุการณ์
Type: คือชนิดของเหตุการณ์
Event ID: คือหมายเลขประจำตัวของเหตุการณ์
User: คือชื่อผู้ใช้ขณะเกิดเหตุการณ์
Computer: คือชื่อเครื่องคอมพิวเตอร์ที่เกิดเหตุการณ์
Description: คือรายละเอียดของเหตุการณ์ 


Event Viewer แบ่งประเภทของเหตุการณ์ (Level) ได้เป็นหัวข้อดังนี้

•    Information : เหตุการณ์ที่อธิบายการทำงานที่สำเร็จของงาน เช่น แอปพลิเคชัน ไดรเวอร์หรือเซอร์วิส ตัวอย่างเช่น บันทึกเหตุการณ์เมื่อ Serverโหลดไดรเวอร์เครือข่ายสำเร็จ

•    Warning : เหตุการณ์ที่ไม่สำคัญมาก อย่างไรก็ตาม อาจบอกถึงโอกาสในการเกิดของปัญหาในอนาคต ตัวอย่างเช่น แจ้งเตือนเมื่อพื้นที่ดิสก์ว่างเหลือน้อยลงมาก

•    Error : เหตุการณ์ที่อธิบายปัญหาสำคัญ เช่น ความล้มเหลวของงานสำคัญ, เหตุการณ์ความผิดพลาดที่อาจเกี่ยวกับการสูญหายของข้อมูล หรือการสูญเสียฟังก์ชัน ตัวอย่างเช่น บันทึกเหตุการณ์ข้อผิดพลาดของเซอร์วิสที่ไม่สามารถโหลดเพื่อเริ่มต้นการทำงานได้

•    Success Audit : บันทึกเหตุการณ์ของระบบรักษาความปลอดภัยที่ผ่านการตรวจสอบได้สำเร็จ ตัวอย่างเช่น เหตุการณ์เมื่อผู้ใช้Log in เข้าสู่คอมพิวเตอร์หรือระบบ Domain ได้สำเร็จ

•    Failure Audit : บันทึกเหตุการณ์ของระบบรักษาความปลอดภัยที่ไม่ผ่านการตรวจสอบ ตัวอย่างเช่น เมื่อผู้ใช้ไม่สามารถเข้าถึงแชร์ไดรฟ์ต่างๆ ในเครือข่ายได้


Log ของ Windows จะเก็บไว้ที่

  • %Systemroot%\system32\config\ (Windows XP).
  • %Systemroot%\system32\winevt\Logs\ (Windows 7, 10).
  • %Systemroot%\System32\winevt\Logs\ (Windows Server 2008)
  • %programdata%\Microsoft\Windows Server\Logs (Windows Server 2012)

Windows Log ดังนี้

  • Application Application คือ ล็อกไฟล์ที่เกิดขึ้นกับโปรแกรมที่ทำงานบน Windows และการเตือนหาข้อผิดพลาดอื่นๆ
  • Security คือ ล็อกไฟล์สำหรับการตั้งค่าเกี่ยวกับความปลอดภัย และการตั้งค่าบัญชีผู้ใช้คนอื่นๆที่ถูกบันทึกไว้
  • System จะบอกรายละเอียดของปัญหาระบบทั่วๆไป รวมถึงปัญหาที่เกิดขึ้นกับอุปกรณ์และการติดตั้งไดร์เวอร์ต่างๆ
  • Setup คือ ล็อกไฟล์ที่เกี่ยวกับการติดตั้งโปรแกรมก่อนหน้าที่จะเกิดปัญหาขึ้นมา
  • Forwarded events จะบอกถึงปัญหาที่เกิดจากเหตุการณ์ Remote ด้วยเครื่องคอมพิวเตอร์ระยะไกล เพื่อให้สามารถเข้ามาตั้งค่าเกี่ยวกับล็อกไฟล์และจะบันทึกเหตุการณ์ครั้งล่าสุดเก็บไว้ด้วย
Logon Type
Description
2Interactive (logon at keyboard and screen of system)
3Network (i.e. connection to shared folder on this computer from elsewhere on network)
4Batch (i.e. scheduled task)
5Service (Service startup)
7Unlock (i.e. unnattended workstation with password protected screen saver)
8NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information.
9NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  This logon type does not seem to show up in any events.  If you want to track users attempting to logon with alternate credentials see 4648.  MS says "A caller cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but uses different credentials for other network connections."
10RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)

 
Credit:eventID


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD




No comments:

Post a Comment