A. 系統日誌事件代碼分別代表啥意思
作為一個伺服器維護者,我的工作就是檢查日誌。今天我想和大家分享的不是上面的任何一個日誌,而是系統的管理日誌。在windows 2003系統中,在「開始」菜單「運行」中輸入「eventvwr」就可以打開事件查看器,不過一般我們是打開計算機管理,他包含了這個時間查看器,方便管理,在運行中輸入「compmgmt.msc」或者右擊我的電腦選擇「管理」就可以打開計算機管理。事件查看器 一般可以查看四類日誌,他們分別是「應用程序」,「internet explorer」,「安全性」和「系統」。
如圖
[attachment=1584]
對於「登陸/注銷」來說我們重點關注 「應用程序」和「系統」這2類,「登陸/注銷」這種行為一般發生在系統用戶和資料庫用戶,下面以一個例子來具體說明。
比如,我以administrator身份登陸3389埠的遠程終端,那麼日誌記錄一般為4條,同時發生。
這個審核是默認開啟的,如果想修改可以在運行中輸入gpedit.msc打開組策略,在計算機配置-windows設置-安全設置-本地策略-審核策略,即可看到對系統登陸時間的審核。
[attachment=1585]
此類日誌保存在「安全性」這一類中
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 帳戶登錄
事件 ID: 680
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
嘗試登錄的用戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄帳戶: administrator
源工作站: TAGggg-DDD3333
錯誤代碼: 0x0
這個日誌是記錄嘗試登陸的用戶,比如你在登陸窗口測試用戶名和密碼的話,這里都會記載下載,如果你發現有不是系統用戶的記錄,那麼肯定是有人在猜你的用戶名了
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 552
日期: 2010-2-4
事件: 20:52:37
用戶: NT AUTHORITY\SYSTEM
計算機: TAGggg-DDD3333
描述:
使用明確憑據的登錄嘗試:
登錄的用戶:
用戶名: TAGggg-DDD3333$
域: WORKGROUP
登錄 ID: (0x0,0x3E7)
登錄 GUID: -
憑據被使用的用戶:
目標用戶名: administrator
目標域: TAGggg-DDD3333
目標登錄 GUID: -
目標伺服器名稱: localhost
目標伺服器信息: localhost
調用方進程 ID: 3224
源網路地址: 142.97.167.96
源埠: 53637
如果登陸成功,那麼將在這里記載,如果被人拿到了3389的賬號和密碼,那麼這里將記載ip和方式,很明顯這里是使用憑據登陸的。
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 528
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x3B5BA)
登錄類型: 10
登錄進程: User32
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 3224
傳遞服務: -
源網路地址: 142.97.167.96
源埠: 53637
這條日誌最為重要,他有3個地方說明了登陸方式是遠程連接登陸桌面的,第一個地方是登錄方式為10,這種方式是遠程交互(RemoteInteractive),說明是通過終端服務、遠程桌面或遠程協助登陸的;第二個地方就是:登錄進程: User32 ,說明是調用了user32.exe進程來登陸的。 第三個地址我們在關注一下調用方進程ID,打開任務管理器,可以看到3224的進程是winlogen.exe,這3點都說明了這個日誌是遠程連接日誌
[attachment=1586]
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 576
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
指派給新登錄的特殊許可權:
用戶名:
域:
登錄 ID: (0x0,0x3B5BA)
特權: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
這個日誌是說明給予登陸用戶的許可權。
好了,上面就是遠程登陸的日誌了。下面介紹關於mssql的登陸日誌。我將mssql的登陸日誌分為3類:普通用戶登陸,SA登陸和系統用戶登陸。
需要開啟sql server和windows身份驗證,審核全部。點擊mssql實例,右擊屬性,在「安全性」選項卡中選擇即可
[attachment=1587]
我們重點關注SA和系統用戶的登陸。
mssql的系統用戶的登陸日誌也保存在「安全性」這類日誌中,它的日誌和遠程登陸相似,主要區別在第三個日誌,比如
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/注銷
事件 ID: 528
日期: 2010-2-4
事件: 21:50:34
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x48EF44)
登錄類型: 5
登錄進程: Advapi
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 444
傳遞服務: -
源網路地址: -
源埠: -
可以看到這個日誌的源網路地址和源埠為空。登錄類型為5,了解過windows登陸類型的知道這是以服務的方式來登陸的,登錄進程為Advapi ,是因mssql調用了LogonUser(管理員)(API call to LogonUser)」,從而產生了登錄事件,調用方進程ID為444即serverices.exe的進程,在看到這個日誌的最開始你可能會以為被入侵了,其實不然,當然每個情況不一樣,要具體分析,因為像黑洞的遠程登陸日誌應當也是這樣,他也是採用服務來登陸系統。我上面的這個mssql日誌比較特殊,因為我是調用administrator來啟動mssql的,而不是system,所以第一眼看到這個日誌感覺可能中招了的想法是正確的,請仔細勘察。
MSSQL的用戶登陸日誌都保存在「應用程序」中,普通網站所用資料庫用戶的登陸,一般為
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:41:06
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'dbxxxxx' 登錄成功。連接: 非信任。
在系統用登陸mssql是在這里也會有記載
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:42:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
18453:
用戶 TAGggg-DDD3333\administrator' 登錄成功。連接: 信任。
可能同時還伴隨會產生這樣一個日誌
復制代碼
描述:
8128:
使用 'xplog70.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_msver'。
一個返回有關伺服器的實際內部版本號的信息以及伺服器環境的有關信息的擴展存儲
下面說SA的日誌。
sa登陸成功日誌:
事件類型: 信息
復制代碼
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:21
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'sa' 登錄成功。連接: 非信任。
如果看到這樣的日誌那麼你的小心了,SA密碼已經被人拿去了。
如果執行游覽文件功能,那麼會產生這樣的日誌
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (2)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:45
用戶: N/A
計算機: TAGggg-DDD3333
描述:
8128:
使用 'xpstar.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_dirtree'。
B. SQLserver 日誌能否記錄用戶的每一個操作,且怎麼分析日誌文件
你好,日誌文件滿了,就寫不進去數據了。所以最好不要設置日誌文件的大小。或者你定期自動截斷備份也可以。
消息
9002,級別
17,狀態
4,第
1
行
資料庫
'test'
的事務日誌已滿。若要查明無法重用日誌中的空間的原因,
右擊資料庫-備份,裡面有選擇備份資料庫還是文件和文件組的。
C. sqlserver資料庫登錄日誌LOG目錄下的SQLDump10000.txt文件有三十多G,我想問一下這個文件能刪除嗎
可以刪,這個文件是在sql server進程崩潰以後便於微軟技術支持分析問題而生成的mp文件,如果不需要聯系微軟的技術人員的話就刪除吧,不影響資料庫的運行。
D. 如何查看sql資料庫操作日誌
請參照以下步驟查看sql資料庫操作日誌。
1、首先在電腦上打開sql server軟體,進入軟體載入界面。
E. 如何查看sql資料庫操作日誌
請參照以下步驟查看sql資料庫操作日誌。
1、首先在電腦上打開sql server軟體,進入軟體載入界面。
F. 如何查看資料庫日誌
1、首先,打開計算機上的sqlserver軟體,進入軟體載入界面。