시스템 로그 이벤트 코드는 무엇을 의미하나요?

서버 관리자로서 제가 맡은 일은 로그를 확인하는 것입니다. 오늘 제가 여러분과 공유하고 싶은 것은 위의 로그가 아닌 시스템 관리 로그입니다. Windows 2003 시스템에서는 "시작" 메뉴에서 "eventvwr"을 입력하고 "실행"을 눌러 이벤트 뷰어를 엽니다. 그러나 일반적으로 손쉬운 관리를 위해 이 시간 뷰어가 포함된 컴퓨터 관리를 엽니다. 내 컴퓨터를 마우스 오른쪽 버튼으로 클릭하고 "관리"를 선택하여 컴퓨터 관리를 엽니다. 이벤트 뷰어를 사용하면 일반적으로 "응용 프로그램", "Internet Explorer", "보안" 및 "시스템"이라는 네 가지 유형의 로그를 볼 수 있습니다.

그림과 같이

[attachment=1584]

"로그인/로그아웃"의 경우 "응용 프로그램"과 "시스템"의 두 가지 범주에 중점을 둡니다. " , "로그인/로그아웃" 동작은 일반적으로 시스템 사용자와 데이터베이스 사용자 사이에서 발생합니다. 다음은 설명하는 예입니다.

예를 들어 원격 터미널에 3389 포트로 관리자로 로그인하면 로그 기록은 보통 4개가 동시에 발생합니다.

이 감사는 기본적으로 활성화되어 있습니다. 수정하려면 gpedit.msc를 입력하여 작업 중에 그룹 정책을 열 수 있습니다. 변경 사항을 확인하는 정책입니다. 시스템 로그인 시간을 검토합니다.

[attachment=1585]

이러한 로그는 "보안" 범주에 저장됩니다.

코드 복사

이벤트 유형 : 감사 성공

이벤트 소스: 보안

이벤트 유형: 계정 로그인

이벤트 ID: 680

날짜: 2010-2- 4

이벤트: 20:52:37

사용자: TAGggg-DDD3333\administrator

컴퓨터: TAGggg-DDD3333

설명:

로그인하려는 사용자: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

로그인 계정: 관리자

소스 워크스테이션: TAGggg-DDD3333

오류 코드: 0x0

이 로그에는 로그인을 시도하는 사용자가 기록됩니다. 예를 들어 로그인 창에서 사용자 이름과 비밀번호를 테스트하는 경우 누군가의 기록이 있는 경우 다운로드가 여기에 기록됩니다. 시스템 사용자가 아니라면 누군가 귀하의 사용자 이름을 추측하고 있는 것입니다.

코드 복사

이벤트 유형: 감사 성공

이벤트 소스: 보안

이벤트 유형: 로그인/로그아웃

이벤트 ID: 552

날짜: 2010-2-4

이벤트: 20:52:37

사용자: NT AUTHORITY\SYSTEM

컴퓨터: TAGggg-DDD3333

설명:

명시적 자격 증명을 사용한 로그인 시도:

로그인한 사용자:

사용자 이름: TAGggg-DDD3333$

도메인: WORKGROUP

로그인 ID: (0x0,0x3E7)

로그인 GUID: -

자격 증명을 사용 중인 사용자:

대상 사용자 이름: 관리자

대상 도메인: TAGggg-DDD3333

대상 로그인 GUID: -

대상 서버 이름: localhost

대상 서버 정보: localhost

호출자 프로세스 ID: 3224

소스 네트워크 주소: 142.97.167.96

소스 포트: 53637

로그인에 성공하면 여기에 기록됩니다. 누군가가 3389의 계정과 비밀번호를 얻으면 IP와 방법이 여기에 기록됩니다. 여기에 로그인하는 데 자격 증명이 사용되는 것이 분명합니다.

코드 복사

이벤트 유형: 감사 성공

이벤트 소스: 보안

이벤트 유형: 로그인/로그아웃

이벤트 ID: 528

날짜: 2010-2-4

이벤트: 20:52:37

사용자: TAGggg-DDD3333\administrator

컴퓨터: TAGggg-DDD3333

설명:

로그인 성공:

사용자 이름: 관리자

도메인: TAGggg - DDD3333

로그인 ID: (0x0,0x3B5BA)

로그인 유형: 10

로그인 프로세스: User32

인증 패킷: 협상

워크스테이션 이름: TAGggg-DDD3333

로그인 GUID: -

발신자 사용자 이름: TAGggg-DDD3333$

통화 영역: WORKGROUP

발신자 로그인 ID: (0x0,0x3E7)

발신자 프로세스 ID: 3224

배달 서비스: -

소스 네트워크 주소: 142.97 .167.96

소스 포트: 53637

이 로그는 로그인 방법이 데스크톱에 대한 원격 연결임을 설명하는 세 군데가 있습니다. 로그인 방법은 10으로, 원격 상호 작용(RemoteInteractive)으로 로그인이 터미널 서비스, 원격 데스크톱 또는 원격 지원을 통해 이루어짐을 나타냅니다. 두 번째는 로그인 프로세스: User32로, 로그인을 위해 user32 프로세스가 호출됨을 나타냅니다.

세 번째 주소의 경우 호출자 프로세스 ID에 주목하고 있습니다. 작업 관리자를 열면 3224의 프로세스가 winlogen.exe임을 알 수 있습니다. 이 세 가지 점은 이 로그가 원격 연결 로그임을 나타냅니다.

[첨부 파일 =1586]

코드 복사

이벤트 유형: 감사 성공

이벤트 소스: 보안

이벤트 유형: 로그인 /로그아웃

이벤트 ID: 576

날짜: 2010-2-4

이벤트: 20:52:37

사용자: TAGggg-DDD3333\ 관리자

컴퓨터: TAGggg-DDD3333

설명:

새 로그인에 할당된 특별 권한:

사용자 이름 :

도메인:

로그인 ID: (0x0,0x3B5BA)

권한: SeSecurityPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeTakeOwnershipPrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeLoadDriverPrivilege

SeImpersonatePrivilege

이 로그 로그인 사용자의 권한을 설명하는 것입니다.

자, 위는 원격 로그인 로그입니다. 다음은 mssql의 로그인 로그를 소개합니다. 저는 mssql 로그인 로그를 일반 사용자 로그인, SA 로그인, 시스템 사용자 로그인의 세 가지 범주로 나눕니다.

SQL Server 및 Windows 인증을 활성화하고 모든 것을 검토해야 합니다. mssql 인스턴스를 클릭하고 속성을 마우스 오른쪽 버튼으로 클릭한 후 "보안" 탭을 선택합니다.

[attachment=1587]

우리는 SA 및 시스템 사용자의 로그인에 중점을 둡니다.

mssql 시스템 사용자의 로그인 로그도 "보안" 로그에 저장됩니다. 해당 로그는 원격 로그인과 유사하지만 주요 차이점은 다음과 같은 세 번째 로그입니다.

코드 복사

이벤트 유형: 감사 성공

이벤트 소스: 보안

이벤트 유형: 로그인/로그아웃

이벤트 ID: 528

날짜: 2010-2-4

이벤트: 21:50:34

사용자: TAGggg-DDD3333\administrator

컴퓨터: TAGggg-DDD3333

설명:

로그인 성공:

사용자 이름: 관리자

도메인: TAGggg-DDD3333

로그인 ID: (0x0,0x48EF44)

로그인 유형: 5

로그인 프로세스: Advapi

인증 패킷: 협상

워크스테이션 이름: TAGggg-DDD3333

로그인 GUID: -

발신자 사용자 이름: TAGggg-DDD3333$

발신자 도메인: WORKGROUP

발신자 로그인 ID: (0x0,0x3E7)

발신자 프로세스 ID: 444

배달 서비스: -

소스 네트워크 주소: -

소스 포트: -

이 로그의 소스 네트워크 주소와 소스 포트가 비어 있는 것을 확인할 수 있습니다. 로그인 유형은 5입니다. Windows 로그인 유형을 이해하신 분들은 이것이 서비스 로그인이라는 것을 아실 것입니다. 이는 mssql이 LogonUser(Administrator)(LogonUser에 대한 API 호출)를 호출하여 로그인 이벤트를 생성하기 때문입니다. . , 호출 프로세스 ID는 server.exe의 프로세스입니다. 이 로그를 처음 보면 침입되었다고 생각할 수 있습니다. 물론 상황마다 다릅니다. , 블랙홀 원격 로그인과 같으므로 자세히 분석해야 합니다. 로그도 동일해야 하며, 시스템에 로그인하는 데에도 서비스를 사용합니다. 호출하기 때문에 위에 있는 mssql 로그가 특별합니다.

MSSQL 사용자 로그인 로그는 "응용 프로그램"에 저장되어 있으므로 처음 이 로그를 봤을 때 속은 것 같은 느낌이 들었습니다. ". 일반 웹사이트에서 사용하는 데이터베이스 사용자의 로그인 로그는 일반적으로

코드 복사

이벤트 유형: 정보

이벤트 소스: MSSQLSERVER

이벤트 유형: (4)

이벤트 ID: 17055

날짜: 2010-2-4

이벤트: 21:41:06

사용자: 해당 없음

컴퓨터: TAGggg-DDD3333

설명:

18454:

사용자가 로그인에 성공했습니다. 'dbxxxxx': 신뢰할 수 없습니다.

시스템에 대한 mssql 로그인도 여기에 기록됩니다.

코드 복사

이벤트 유형: 정보

이벤트 소스: MSSQLSERVER

p>

이벤트 유형: (4)

이벤트 ID: 17055

날짜: 2010-2-4

이벤트: 21:42 :37

사용자: TAGggg-DDD3333\administrator

컴퓨터: TAGggg-DDD3333

설명:

18453:

사용자 TAGggg-DDD3333\administrator'가 성공적으로 로그인되었습니다. 연결: 신뢰.

이것은 해당 로그와 함께 나타날 수도 있습니다.

코드 복사

설명:

8128:

'xplog70.dll' 버전 '2000.80.2039'를 사용하여 확장 저장 프로시저 'xp_msver'를 실행했습니다.

서버의 실제 빌드 번호와 서버 환경에 대한 정보를 반환하는 확장 스토어

다음은 SA 로그이다.

sa 로그인 성공 로그:

이벤트 유형: 정보

코드 복사

이벤트 소스: MSSQLSERVER

이벤트 유형: (4)

이벤트 ID: 17055

날짜: 2010-2-4

이벤트: 21:02:21

사용자: 해당 없음

컴퓨터: TAGggg-DDD3333

설명:

18454:

사용자 'sa'가 로그인되었습니다. 성공적으로 . 연결: 신뢰할 수 없습니다.

이런 로그가 표시되면 누군가가 귀하의 SA 비밀번호를 도용한 것이므로 조심하세요.

투어 파일 기능을 실행하면 해당 로그가 생성됩니다.

코드 복사

이벤트 유형: 정보

이벤트 소스 : MSSQLSERVER

이벤트 유형: (2)

이벤트 ID: 17055

날짜: 2010-2-4

이벤트: 21 :02 :45

사용자: 해당 없음

컴퓨터: TAGggg-DDD3333

설명:

8128:

'xpstar.dll' 버전 '2000.80.2039'를 사용하여 확장 저장 프로시저 'xp_dirtree'를 실행합니다.