Windows Server Security Log ที่สำคัญและความแตกต่างกันของ Windows Server Log ของ windows Server 2003 และ Windows Server 2008

By
Suttipan Passorn
-
0
2574

 

ใน KB นี้ผมจะชี้ให้ดูสามเรื่องครับ

1. Event ID ที่สำคัญของ Security Log ของ Windows Server

2. Event ID ที่เป็นเรื่องเดียวกัน แต่หมายเลขเปลี่ยนไประหว่าง Windows Server 2003 และ Windows Server 2008

3. การใช้เครื่องมือ Export Log ที่สำคัญมาเก็บไว้บนเครื่อง

 

เลขรหัส Event ID ที่เปลี่ยนไปบน Windows Server 2008 (มี 4 หลัก)

Windows Server Security Log ที่สำคัญและความแตกต่างกันของ Windows Server Log ของ windows Server 2003 และ Windows Server 2008

::: Security ID ที่สำคัญของ Windows 2008

::: 4624 – An account was successfully logged on.

::: 4625 – An account failed to log on.

::: 4649 – A replay attack was detected.

::: 4720 – A user account was created.

::: 4740 – A user account was locked out.

::: 4723 – An attempt was made to change an account’s password.

::: 4724 – An attempt was made to reset an account’s password.

::: 4698 – A scheduled task was created.

::: e1102 – The Specified user cleared the Security Log.

::: Security ID ที่สำคัญของ Windows 2003

::: 528 – An account was successfully logged on.

::: 529 – Bad Password

::: 680 – An account failed to log on.

::: 681 – FailedToLogOn.csv

::: 642 – ResetPassword.csv

::: 624 – CreatedUser.csv

::: 644 – UserLockout

::: 540 – NetworkLogOn

การเก็บ Security Log ที่สำคัญของระบบเก็บไว้ด้วย Log Parser 2.2

สามารถ Download ได้ที่

http://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser เป็น Tools ของ Microsoft ที่ช่วยให้ Export Log มาในรูปแบบที่อ่านง่าย และเป็น Command ที่ช่วยให้สามารถ Export ออกมาดู Log ให้ดูได้แบบรวดเร็วมาก

หลังจาก Download เสร็จเรียบร้อยแล้วก็สามารถ Copy Logparser.exe ออกมาไว้ใช้งานได้เลยครับ

สามารถเอาไปทำ Batch Script ได้ด้วยคำสั่งตัวอย่างต่อไปนี้

Windows Server Security Log ที่สำคัญและความแตกต่างกันของ Windows Server Log ของ windows Server 2003 และ Windows Server 2008

การ Export Security Event Log ที่สำคัญของ Windows Server 2003 ด้วย Logparser.exe Copy เอาไปทำ Batch Script ได้เลยครับ

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\528_SuccessToLogOn.csv FROM Security WHERE EventID = 528

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\529_BadPassword.csv FROM Security WHERE EventID = 529

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\680_FailedToLogOn.csv FROM Security WHERE EventID = 680

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\681_FailedToLogOn.csv FROM Security WHERE EventID = 681

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\642_ResetPassword.csv FROM Security WHERE EventID = 642

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\624_CreatedUser.csv FROM Security WHERE EventID = 624

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\644_UserLockout.csv FROM Security WHERE EventID = 644

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\540_NetworkLogOn.csv FROM Security WHERE EventID = 540

การ Export Security Event Log ที่สำคัญของ Windows Server 2008 ด้วย Logparser.exe Copy เอาไปทำ Batch Script ได้เลยครับ

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4624_SuccessToLogOn.csv FROM Security WHERE EventID = 4624

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4625_FailedToLogOn.csv FROM Security WHERE EventID = 4625

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4649_ReplayAttackDetected.csv FROM Security WHERE EventID = 4649

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4720_UserCreated.csv FROM Security WHERE EventID = 4720

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4740_AccountLocked.csv FROM Security WHERE EventID = 4740

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4723_ChangePassword.csv FROM Security WHERE EventID = 4723

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4724_ResetPassword.csv FROM Security WHERE EventID = 4724

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\4698_TaskCreated.csv FROM Security WHERE EventID = 4698

Logparser.exe “SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO c:\EventID\1102_ClearSecurityLog.csv FROM Security WHERE EventID = 1102

 

ตัวอย่างการทำงานของ Logparser.exe ด้วยการ Export Security Log บน Windows Server 2008

Windows Server Security Log ที่สำคัญและความแตกต่างกันของ Windows Server Log ของ windows Server 2003 และ Windows Server 2008

RELATED ARTICLESMORE FROM AUTHOR