說明

Windows 事件檢視器 (Event Viewer) 是一個內建工具，用於查看系統日誌。透過它，使用者可以檢索系統的操作記錄以及各類異常事件，便於進行系統狀況的監控與排除。

作法

啟動

搜尋事件檢視器或Event Viewer

介面

(1) 一般通常都在這邊找系統Log
(2) 微軟應用程式(Ex.RDP)
(3) PowerShell指令紀錄
(4) 過濾時間、EventID
(5) 關鍵字搜尋

存放設定

每個Channel可以分別設定保存的空間，以Security為例，選擇Security(1)後點Properities(2)，看到保存路徑(3)，及保存大小(4)，為避免回查時日誌被洗掉，可以擴大保存或是傳送至外部Log Server

搜尋

搜尋時盡量先限縮時間區間，例如我要查看登入紀錄就會查EventID 4624，依據篩選結果限縮前後10分鐘並把EventID清掉，看這段時間有沒有其他事件發生

Log Details

這邊介紹Friendly View，下一章再介紹XML View
(1) 分成System 及 (2)EventData
System為各Log一樣的格式，主要看(3)EventID及(4)時間

EventDate

各個EventID 還有細項去描述這個行為如何產生，以4624為例，Logon Type描述是用什麼方式驗證
一般用MSTSC遠端桌面登入會產生Logon Type 10(RemoteInteractive)這個事件，當我們發現到有異於平常例如Logon Type 9，就需要關注了

官方網站
https://learn.microsoft.com/zh-tw/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4624

參考

除了官網以外，可以參考這個網站
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

First Time Seen NewCredentials Logon Process
https://www.elastic.co/guide/en/security/current/first-time-seen-newcredentials-logon-process.html

附錄 L：要監視的事件
https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor