应急响应-遭受入侵的通用处置方法
应急响应通用方法查看日志通过cmd输入eventvwr.msc打开事件查看器
在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件
常见的事件ID安全日志security.evtx
123456784624 -成功登录4625 -失败登录4647 -成功注销4720 -创建⽤户4722 -启⽤账户4724 -重置密码4732 -添加⽤户到组4738 -修改账户
远程登录日志
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtxMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
12345• 1149:⽤户认证成功• 21:远程桌⾯服务:会话登录成功• 22:远程桌⾯服务: 已收到 Shell 启动通知• 24:远程桌⾯服务:会话已断开连接• 25:远程桌⾯服务:会话重新连接成功
连接其他机器日志
Microsoft-Windows-Termina ...
