今天要來研究一些常見的事件,來看看有那些東西會被系統紀錄下來,他們的意義又是什麼。
筆者查了查發現不知道要挑什麼講,於是最後決定來把重新開機當作範例找系統中的記錄,這對電腦來說一件重大程序,前前後後會有很多步驟被記錄下來,同一秒內被寫入十幾則都有可能,所以我們會挑一些是較為重要的記錄來講。
實作就是筆者把電腦重新開機,從關閉進到桌面中間歷程是從中午12點整到12點43秒,先後會記錄的重大事件包括下列這些:
沒想到第一個出現的是6013事件,這個只能說是剛剛好,通常在系統重新啟動會發生這個事件,紀錄他總共運行了多久,不過仔細一查才發現,6013會在每日中午12點整紀錄一次,即使你沒有重新開機。
接著紀錄使用者按下重新開機的事件,這是指定的所以不在排程計畫中,就是RuntimeBlock.exe照使用者的指示啟動「重新啟動」這個動作。
安全中心顯示使用者初始登出,似乎是分步驟式,工作類別就是Logoff。
往下是事件紀錄服務中止的1100事件,表示他要停止紀錄了。
上次提到的6006事件,跟1100幾乎是同時,紀錄檔服務也中止了。
再來7002表示使用者完整登出。
1532事件表示關閉使用者設定檔。
接者有一連串的事件在關閉網路協定DHCPv4和DHCPv6,其中DHCPv4會等待DHCPv6關閉才可以關閉,事件ID有50104、50105、51047、51057、50106、50037等等。
Kernel-Power會發出109事件表示進入關機階段。
Kernel-General發出事件13記錄系統完全關閉的時間。
然後終於來到系統開機的時刻了,大致上會跟剛剛關機的時候相反,Kernel-General發出事件12記錄系統開機的時間。
後面由Kernal-Boot記錄各種檢測,事件ID包括153、18、32、20、238、25、27、30。
事件4826說明載入開機設定。
4608紀錄系統正在啟動。
1531說明載入使用者設定。
6009記錄下系統資訊,檢測Windows產品名稱、版本、內部版本號、操作系統類型等等。
再來就是事件紀錄檔的啟動,事件6005。
事件6013再出現一次,似乎是每次開機中會出現一次。
7001表示登入成功。
1025事件表示信賴平台模組佈件成功可以使用。
中間還有各種帳戶登錄,程序啟用,權限指派,狀態檢查,影體變更等等列不完的事件,像是防火牆開起,網路協定啟用,密碼編譯的啟用,TPM佈建過程等等,總之,我們用一次開關機可以知道,Windows日誌會記錄這些在系統中的大大小小的事件,這對開發人員有很大的好處,可以確認各項log中缺少哪一項縮小要檢查的範圍,事件檢視器除了錯誤跟警告,在資訊類別中會提出的紀錄就類似這些。
寫到最近開始有點累了,不過還是先堅持一下,至少讓每天文章有一定的量,所以下面我們來補充關於Microsoft Office Alerts的部分,他的日誌檔一樣放在%SystemRoot%\System32\Winevt\Logs
下,名叫OAlerts.evtx,雖然叫做Alter,但在事件記錄的等級以資訊類為主,事件ID基本上都是300,他主要是記錄Microsoft Office產品的一些提醒,像是我們還沒存檔就關閉文件會出現使否儲存變更的提醒。
裡面的P1數值的開頭會代表Office軟體類型,對應的列表如下:
P2數值表示Office軟體的版本號,P3,P4不一定會有。
當我們打開Word打開PDF檔也會出現警告,這裡的P1就比較特殊,會顯示0。
像是PowerPoint出現限制字體錯誤也會記錄下來。
如果我們嘗試用Word開起.xlsx檔可能會發生無法開啟的情況,關於這些提示敬告都會被記錄在這份日誌檔中。
甚至是取代完成出現的提示,也會被記錄。
從小事到大事,通通被日誌檔記下來,我們觀察日誌的活動會發現系統無時無刻所做的事,如果我希望識別一段時間內的使用者活動,可以去各種日誌下找到可能識別使用者跟他有互動的文件,這樣的應用是非常廣泛的,同時也表示很難做到過水無痕,筆者參考資料最後一點的作者Matt B也表示:
Event logs have been a great source of data for a long time to help understand what is going on with a system.
學會看日誌對專業的開發人員是很重要的,今天就先到這邊,下一篇我們來看看怎麼去讀.evtx文件,用文字編輯器打開他看看他的結構,這是一個辛苦但是有意義,或許也很有趣的過程,日誌檔常常牽涉資安,裡面是有可取之處的。
參考資料:
http://www.windows5.online/windows/ruanjian/fwq/gyfwq/201702/61011.html
https://social.technet.microsoft.com/Forums/ie/en-US/2c45e6af-8ec4-4fdd-8cf2-87e96fd80a73/restart?forum=winserverManagement
https://www.datamutz.com/dm-blog/windows-event-logs-tracking-file-edits-and-deletions
https://bromiley.medium.com/oalerts-the-microsoft-office-event-log-ad164e1eec0f