有時項目中可能會用到一些日誌的配置信息。本文簡單介紹一下安全日誌的相關信息獲取。
首先,須要獲取日誌類別,用來進行以後本類別的日誌詳細信息查詢:
wevtutil el
其中security即爲安全日誌類別
html
wevtutil 命令參數以下windows
| 命令 | 意義 | 註釋 |
|---|---|---|
| el | enum-logs | 列出日誌名稱 |
| gl | get-log | 獲取日誌配置信息 |
| sl | set-log | 修改日誌配置 |
| ep | enum-publishers | 列出事件發佈者 |
| gp | get-publisher | 獲取發佈者配置信息 |
| im | install-manifest | 從清單中安裝事件發佈者和日誌 |
| um | uninstall-manifest | 從清單中卸載事件發佈者和日誌 |
| qe | query-events | 從日誌或日誌文件中查詢事件 |
| gli | get-log-info | 獲取日誌狀態信息 |
| epl | export-log | 導出日誌 |
| al | archive-log | 存檔導出的日誌 |
| cl | clear-log | 清除日誌 |
導出 安全 日誌的命令爲:
wevtutil epl security d:\security.evtx
該命令將安全日誌信息導出到d盤下的security.evtx文件
安全
查詢 安全 日誌的配置信息命令以下:
wevtutil gl security
結果(包含但不是所有) 屬性以下:
-name ------ 日誌類別
enabled ------ 是否禁用
logging:
logFileName ------ 日誌文件保存路徑
retention ------ 是否保留
autoBackup ------是否自動備份
maxSize ------ 本類別日誌最大容量
url
windows上面覆蓋方式有三種:
按須要覆蓋------ retention:false;autoBackup:false
滿時存檔,不覆蓋------ retention:true;autoBackup:true
不覆蓋,手動清除------ retention:true;autoBackup:false
.net
做者:東方欲曉_莫道君行早
連接:https://www.jianshu.com/p/b7385b37c3d8
來源:簡書
著做權歸做者全部。商業轉載請聯繫做者得到受權,非商業轉載請註明出處。
參考:windows攻防滲透:
https://www.secpulse.com/archives/75470.html