系统日志记录有可能是代码出错吗，日志事件数据包含哪些信息

今天小编为大家分享Windows系统下载、Windows系统教程、windows相关应用程序的文章，希望能够帮助到大家！

命令为var/log/message记录系统重要信息的日志，记录Linux系统的绝大多数重要信息，如果系统出现问题，首先要检查的就是应该是这个日志文件，/var/log/secure记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录，比如说系统的登录，ssh的登录，su切换用户，sudo授权，甚至添加用户和修改用户密码，/var/log/wtmp永久记录所有用户的登录，注销信息，同时记录系统的启动，重启，关机事件，同样这个文件也是一个二进制文件不能直接vi而需要使用last命令来查看。

作为一个服务器维护者，我的工作就是检查日志。今天我想和大家分享的不是上面的任何一个日志，而是系统的管理日志。在windows 2003系统中，在“开始”菜单“运行”中输入“eventvwr”就可以打开事件查看器，不过一般我们是打开计算机管理，他包含了这个时间查看器，方便管理，在运行中输入“compmgmt.msc”或者右击我的电脑选择“管理”就可以打开计算机管理。事件查看器一般可以查看四类日志，他们分别是“应用程序”，“internet explorer”，“安全性”和“系统”。

对于“登陆/注销”来说我们重点关注“应用程序”和“系统”这2类，“登陆/注销”这种行为一般发生在系统用户和数据库用户，下面以一个例子来具体说明。

比如，我以administrator身份登陆3389端口的远程终端，那么日志记录一般为4条，同时发生。

这个审核是默认开启的，如果想修改可以在运行中输入gpedit.msc打开组策略，在计算机配置-windows设置-安全设置-本地策略-审核策略，即可看到对系统登陆时间的审核。

此类日志保存在“安全性”这一类中

用户: TAGggg-DDD3333\administrator

尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

这个日志是记录尝试登陆的用户，比如你在登陆窗口测试用户名和密码的话，这里都会记载下载，如果你发现有不是系统用户的记录，那么肯定是有人在猜你的用户名了

如果登陆成功，那么将在这里记载，如果被人拿到了3389的账号和密码，那么这里将记载ip和方式，很明显这里是使用凭据登陆的。

用户: TAGggg-DDD3333\administrator

这条日志最为重要，他有3个地方说明了登陆方式是远程连接登陆桌面的，第一个地方是登录方式为10，这种方式是远程交互(RemoteInteractive)，说明是通过终端服务、远程桌面或远程协助登陆的；第二个地方就是：登录进程: User32，说明是调用了user32.exe进程来登陆的。第三个地址我们在关注一下调用方进程ID，打开任务管理器，可以看到3224的进程是winlogen.exe，这3点都说明了这个日志是远程连接日志

用户: TAGggg-DDD3333\administrator

这个日志是说明给予登陆用户的权限。

好了，上面就是远程登陆的日志了。下面介绍关于mssql的登陆日志。我将mssql的登陆日志分为3类：普通用户登陆，SA登陆和系统用户登陆。

需要开启sql server和windows身份验证，审核全部。点击mssql实例，右击属性，在“安全性”选项卡中选择即可

我们重点关注SA和系统用户的登陆。

mssql的系统用户的登陆日志也保存在“安全性”这类日志中，它的日志和远程登陆相似，主要区别在第三个日志，比如

用户: TAGggg-DDD3333\administrator

可以看到这个日志的源网络地址和源端口为空。登录类型为5，了解过windows登陆类型的知道这是以服务的方式来登陆的，登录进程为Advapi，是因mssql调用了LogonUser（管理员）(API call to LogonUser)”，从而产生了登录事件，调用方进程ID为444即serverices.exe的进程，在看到这个日志的最开始你可能会以为被入侵了，其实不然，当然每个情况不一样，要具体分析，因为像黑洞的远程登陆日志应当也是这样，他也是采用服务来登陆系统。我上面的这个mssql日志比较特殊，因为我是调用administrator来启动mssql的，而不是system，所以第一眼看到这个日志感觉可能中招了的想法是正确的，请仔细勘察。

MSSQL的用户登陆日志都保存在“应用程序”中，普通网站所用数据库用户的登陆，一般为

用户'dbxxxxx'登录成功。连接:非信任。

在系统用登陆mssql是在这里也会有记载

用户: TAGggg-DDD3333\administrator

用户 TAGggg-DDD3333\administrator'登录成功。连接:信任。

可能同时还伴随会产生这样一个日志

使用'xplog70.dll'版本'2000.80.2039'来执行扩展存储过程'xp_msver'。

一个返回有关服务器的实际内部版本号的信息以及服务器环境的有关信息的扩展存储

用户'sa'登录成功。连接:非信任。

如果看到这样的日志那么你的小心了，SA密码已经被人拿去了。

如果执行游览文件功能，那么会产生这样的日志

使用'xpstar.dll'版本'2000.80.2039'来执行扩展存储过程'xp_dirtree'。

wwW.Xtw.Com.cN系统网专业的PC、手机系统开发下载平台，HarmonyOS系统、安卓、OS、windows电脑重装系统在线下载安装,操作系统平台技术学习,攻略教程,技术交流。