在Windows Server 2003上有人删除了安全和应用程序日志。
我想知道日志何时被删除,如果可能的话,谁是这个罪犯。 🙂
在Windows 2003中,当安全日志被清除时,会自动向其中写入一个包含所需信息的新事件。
例:
Event ID: 517 Source: Security The audit log was cleared Primary User Name: SYSTEM Primary Domain: NT AUTHORITY Primary Logon ID: (0x0,0x3E7) Client User Name: User's Name Client Domain: CompanyDomain Client Logon ID: (0x0,0x493DDA90) 来自微软的更多信息
此事件logging表示审计日志已被清除。 不pipe审计政策如何,都会logging此事件。 即使审计被closures,也被logging下来。
除此之外,你必须有对象审计策略已经到位,并configuration为有任何系统的用户采取行动的附加日志的机会。
清除日志会在日志文件中input一个条目。 下面是我的testing服务器的一个例子,它logging用户名和时间和date。
Log Name: System Source: Microsoft-Windows-Eventlog Date: 07/12/2015 14:52:05 Event ID: 104 Task Category: Log clear Level: Information Keywords: User: CONTOSO\admin Computer: ad.contoso.local Description: The System log file was cleared. Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" /> <EventID>104</EventID> <Version>0</Version> <Level>4</Level> <Task>104</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2015-12-07T14:52:05.515696000Z" /> <EventRecordID>4270</EventRecordID> <Correlation /> <Execution ProcessID="812" ThreadID="3612" /> <Channel>System</Channel> <Computer>ad.contoso.local</Computer> <Security UserID="S-1-5-21-3235254930-1055063838-1000765035-500" /> </System> <UserData> <LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog"> <SubjectUserName>admin</SubjectUserName> <SubjectDomainName>CONTOSO</SubjectDomainName> <Channel>System</Channel> <BackupPath> </BackupPath> </LogFileCleared> </UserData> </Event>