.NET框架类库提供了伊芙ntLog类和伊夫ntLogEntry类与系统日志举行交互二者属于System.Diagnostics命名空间

C# 读取系统日志,

.NET框架类库提供了伊芙ntLog类和伊芙ntLogEntry类与系统日志举办相互二者属于System.Diagnostics命名空间

EventLog

类的质量首要有

Entris重回一个伊芙ntLogEntryCollection型值,代表事件日志的内容Log 获取或者再次回到日志的称呼,其中应用程序日志是Application,系统日志是System,安全日志是Security,默许值为空字符串. 

LogDisplayName 获取事件日志的投机名称MachineName 获取或设置在其上读取或写入事件的总括机名称

Source 获取或安装在写入事件日志时要注册和应用的源名称

伊夫ntEntryCollection类定义伊夫ntLogEntry实例集合的高低和枚举数. 

伊夫ntLogEntry类的一部分至关首要质量如下: 

Category 获得与该项的CategoryNumber对应的文书

【澳门金沙国际】巧用事件查看器维护服务器安全,读取系统日志。CategoryNumber 得到该项的系列号

Data 获取与该项对应的二进制数据

EntryType 获取该项的事件类型,其值属于伊夫ntLogEntryType枚举,那个枚举的重大成员如下: 

Error 错误事件,它提醒用户应该知道的沉痛难点,比如效用或数量丢失

Failure奥迪t 败北审核事件,它提示当审核访问尝试失利,比如打开文件的品尝失利时暴发的安全事件

Information 音信事件.它指示重要。成功的风浪

Success奥迪t 成功查处事件.它提示当审核访问尝试成功,比如成功登录时暴发的安全事件

Warning 警告事件.它提示并不马上具有至关主要的难题,但此难题或者代表未来会导致难点的准绳. 

伊夫ntID 获取此事件项的应用程序特定事件标识符

Index 获取该项在事变日志中的索引

MachineName 得到在发生该项的总计机的名目

Message 得到与该事件的本地化新闻

ReplacementStrings 获取对相应项替换字符串 

Source 获取生成该事件的应用程序的名号

提姆eGenerated 获取生成该事件的地面时间

提姆eWritten 获取在日记写入该事件的本地时间

UserName 获取负责该事件的用户的称号

 示例代码:

 static void Main(string[] args)
        {
            EventLog eventLog = new EventLog();
            eventLog.Log = "System";//日志的类型 有应用程序 系统 等等
            EventLogEntryCollection eventLogEntryCollection = eventLog.Entries;//获取事件日志的内容
            EventLogEntry entry = eventLogEntryCollection[eventLogEntryCollection.Count-1];
            string[] title = { entry.EntryType.ToString(),
                   entry.TimeGenerated.ToLongDateString(), 
                   entry.TimeGenerated.ToLongTimeString(), 
                   entry.Source, entry.Category,    
                   entry.EventID.ToString(), 
                   entry.UserName, entry.MachineName };
            for (int i =0; i <8; i++)
            {
                Console.WriteLine(title[i]);               
            }
            for(int j=0;j <= eventLogEntryCollection.Count - 1; j++)
            {
                Console.WriteLine("\n" + eventLogEntryCollection[eventLogEntryCollection.Count-1].Message);
            }  
        }

  显示效果:

                   
  澳门金沙国际 1

因为是刚刚通晓,可能持有错误,如有错误,欢迎指正

读取系统日志,
.NET框架类库提供了伊夫ntLog类和伊夫ntLogEntry类与系统日志举办相互二者属于System.Diagnostics命名空间
伊夫ntLog 类的属性紧要有…

.NET框架类库提供了伊芙ntLog类和伊夫ntLogEntry类与系统日志举行交互二者属于System.Diagnostics命名空间

事件查看器相当于操作系统的调养医务人员,一些“顽疾”的一望可见都会在事变查看器中展现,一个合格的系统管理员和安康爱惜人士会定期查看应用程序、安全性和系统日志,查看是不是存在不合法登录、系统是不是非正常关机、程序执行错误等音信,通过查阅事件性质来判断错误爆发的起点和化解办法,使操作系统和应用程序正常干活。本文介绍了轩然大波查看器的一对城门失火文化,最终交给了一个康宁爱慕实例,对平安保护人员保险系统有自然的借鉴和参考。

EventLog

EventLog

  (一)事件查看器相关文化

类的习性主要有

类的属性主要有

  1.事变查看器

Entris重回一个伊夫ntLogEntryCollection型值,代表事件日志的始末Log 获取或者再次回到日志的称谓,其中应用程序日志是Application,系统日志是System,安全日志是Security,默许值为空字符串. 

Entris重临一个伊夫ntLogEntryCollection型值,代表事件日志的始末Log 获取或者再次来到日志的名称,其中应用程序日志是Application,系统日志是System,安全日志是Security,默许值为空字符串. 

  事件查看器是 Microsoft Windows
操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查阅关于硬件、软件和种类难题的音信,也得以监视Windows
操作系统中的安全事件。有两种方法来开辟事件查看器:

LogDisplayName 获取事件日志的大团结名称MachineName 获取或安装在其上读取或写入事件的微处理器名称

LogDisplayName 获取事件日志的和谐名称MachineName 获取或设置在其上读取或写入事件的微处理器名称

  (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口

Source 获取或安装在写入事件日志时要登记和动用的源名称

澳门金沙国际,Source 获取或安装在写入事件日志时要注册和应用的源名称

  (2)在“运行”对话框中手工键入“%SystemRoot%system32eventvwr.msc
/s”打开事件查看器窗口。

伊芙ntEntryCollection类定义伊芙ntLogEntry实例集合的大大小小和枚举数. 

伊芙ntEntryCollection类定义伊芙ntLogEntry实例集合的尺寸和枚举数. 

  (3)在运转中直接输入“eventvwr”或者“eventvwr.msc”间接打开事件查看器。

伊芙ntLogEntry类的一些第一品质如下: 

伊夫ntLogEntry类的有些重大品质如下: 

  2.轩然大波查看器中著录的日记类型

Category 得到与该项的CategoryNumber对应的文本

Category 获得与该项的CategoryNumber对应的文件

  在事件查看器中累计记录三体系型的日记,即:

CategoryNumber 得到该项的品类号

CategoryNumber 得到该项的门类号

  (1)应用程序日志

Data 获取与该项对应的二进制数据

Data 获取与该项对应的二进制数据

  包括由应用程序或系统程序记录的事件,紧要记录程序运行方面的风云,例如数据库次第可以在应用程序日志中著录文件漏洞百出,先后开发人口可以自行决定监视哪些事件。倘若某个应用程序出现崩溃意况,那么大家得以从程序事件日志中找到呼应的记录,也许会推向你解决难点。

EntryType 获取该项的轩然大波类型,其值属于伊夫ntLogEntryType枚举,这一个枚举的关键成员如下: 

EntryType 获取该项的轩然大波类型,其值属于伊夫ntLogEntryType枚举,这么些枚举的严重性成员如下: 

  (2)安全性日志

Error 错误事件,它提示用户应该清楚的严重难题,比如成效或数量丢失

Error 错误事件,它提醒用户应该掌握的沉痛难点,比如功效或数量丢失

  记录了例如有效和无效的报到尝试等事件,以及与资源利用相关的风浪,例如创设、打开或删除文件或任何对象,系统管理员能够指定在安全性日志中记录什么风云。默许设置下,安全性日志是关闭的,管理员可以选取组策略来启动安全性日志,或者在注册表中安装审批策略,以便当安全性日志满后使系统甘休响应。

Failure奥迪t 失利审核事件,它提示当审核访问尝试败北,比如打开文件的尝尝败北时发生的安全事件

Failure奥迪(Audi)t 败北审核事件,它提醒当审核访问尝试败北,比如打开文件的品尝战败时发出的安全事件

  (3)系统日志

Information 音信事件.它提示主要。成功的事件

Information 音信事件.它提示主要。成功的轩然大波

  包含Windows
XP的系统组件记录的轩然大波,例如在开行进程中加载驱动程序或其余系统组件战败将记录在系统日志中,默许情状下Windows会将系统事件记录到系统日志之中。
倘使总括机被布署为域控制器,那么还将包蕴目录服务日志、文件复克服务日志;要是电话被布署为域名连串(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(伊夫ntLog)会活动启动,所有用户都得以查看应用程序和系统日志,但唯有管理员才能访问安全性日志。

Success奥迪(Audi)t 成功查处事件.它提示当审核访问尝试成功,比如成功登录时发出的安全事件

Success奥迪(Audi)t 成功查处事件.它提醒当审核访问尝试成功,比如成功登录时发生的安全事件

  在事件查看器中首要记录四种事件,事件查看器屏幕左侧的图标描述了
Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:

Warning 警告事件.它提醒并不及时具有重大的标题,但此难题或者代表未来会促成难点的口径. 

Warning 警告事件.它提示并不及时具有至关主要的题材,但此题材或者代表未来会促成难点的规则. 

  (1)错误:重大题材,例如数据丢失或效益损失。例如,假如服务在启动时期无法加载,便会记录一个错误。

伊夫ntID 获取此事件项的应用程序特定事件标识符

伊芙ntID 获取此事件项的应用程序特定事件标识符

  (2)警告:不肯定主要的事件也能提议潜在的题材。例如,假若磁盘空间低,便会记录一个告诫。

Index 获取该项在事变日志中的索引

Index 获取该项在事变日志中的索引

  (3)
音信:描述应用程序、驱动程序或服务是或不是操作成功的轩然大波。例如,即使互连网驱动程序成功加载,便会记录一个音讯事件。

MachineName 得到在发生该项的微机的名称

MachineName 得到在发出该项的处理器的称号

  (4)成功查处:接受审查且取得成功的平安访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审结”事件被记录下来。

Message 获得与该事件的本地化新闻

Message 得到与该事件的本地化音信

  (5)失利审核:接受核查且未中标的河池访问尝试。例如,如果用户准备访问网络驱动器但未得逞,该尝试将用作“退步审核”被记录下来。

ReplacementStrings 获取对应当项替换字符串 

ReplacementStrings 获取对相应项替换字符串 

 

Source 获取生成该事件的应用程序的名号

Source 获取生成该事件的应用程序的称呼

(二)维护服务器安全实例

提姆eGenerated 获取生成该事件的当地时间

TimeGenerated 获取生成该事件的地面时间

  1.开辟并查阅事件查看器中的三类日志

提姆eWritten 获取在日记写入该事件的地方时间

提姆eWritten 获取在日记写入该事件的本地时间

  在“运行”中输入“eventvwr.msc”间接打开事件查看器,在该窗口中单击“系统”,如图1所示,单击窗口左侧的品种进行排序,可以看看类型中有警示、错误等多条音讯。

UserName 获取负责该事件的用户的称谓

UserName 获取负责该事件的用户的名目

澳门金沙国际 2

 示例代码:

 示例代码:

  图1 打开并查看系统日志

 static void Main(string[] args)
        {
            EventLog eventLog = new EventLog();
            eventLog.Log = "System";//日志的类型 有应用程序 系统 等等
            EventLogEntryCollection eventLogEntryCollection = eventLog.Entries;//获取事件日志的内容
            EventLogEntry entry = eventLogEntryCollection[eventLogEntryCollection.Count-1];
            string[] title = { entry.EntryType.ToString(),
                   entry.TimeGenerated.ToLongDateString(), 
                   entry.TimeGenerated.ToLongTimeString(), 
                   entry.Source, entry.Category,    
                   entry.EventID.ToString(), 
                   entry.UserName, entry.MachineName };
            for (int i =0; i <8; i++)
            {
                Console.WriteLine(title[i]);               
            }
            for(int j=0;j <= eventLogEntryCollection.Count - 1; j++)
            {
                Console.WriteLine("\n" + eventLogEntryCollection[eventLogEntryCollection.Count-1].Message);
            }  
        }
 static void Main(string[] args)
        {
            EventLog eventLog = new EventLog();
            eventLog.Log = "System";//日志的类型 有应用程序 系统 等等
            EventLogEntryCollection eventLogEntryCollection = eventLog.Entries;//获取事件日志的内容
            EventLogEntry entry = eventLogEntryCollection[eventLogEntryCollection.Count-1];
            string[] title = { entry.EntryType.ToString(),
                   entry.TimeGenerated.ToLongDateString(), 
                   entry.TimeGenerated.ToLongTimeString(), 
                   entry.Source, entry.Category,    
                   entry.EventID.ToString(), 
                   entry.UserName, entry.MachineName };
            for (int i =0; i <8; i++)
            {
                Console.WriteLine(title[i]);               
            }
            for(int j=0;j <= eventLogEntryCollection.Count - 1; j++)
            {
                Console.WriteLine("\n" + eventLogEntryCollection[eventLogEntryCollection.Count-1].Message);
            }  
        }

  2.翻看系统错误记录详细音信

  显示效果:

  突显效果:

  接纳“错误”记录,双击即可打开并查看事件的习性,如图2所示,可以发现该事件为一个攻击事件,其事件描述为:

                   
  澳门金沙国际 3

                      澳门金沙国际 4

  连接自 211.99.226.9 的一个匿名会话尝试在此总括机上开拓一个 LSA
策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝,
防止患将安全敏感的新闻败露给匿名呼叫者。

因为是刚刚驾驭,可能持有错误,如有错误,欢迎指正

因为是刚刚了解,可能拥有错误,如有错误,欢迎指正

  进行此品尝的应用程序须要被校正。请与应用程序供应商交流。
作为临时的解决办法,此安全措施可以通过安装:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTurnOffAnonymousBlock
DWORD 值为 1 来剥夺。 此音信将一天最多记录两遍。

澳门金沙国际 5

  图2 查看系统错误事件性质

  表明:该描述音讯申明IP地址为“211.99.226.9”的处理器在攻击此服务器。

3.按照提示修补系统漏洞

  依据描述音信,直接打开注册表编辑器,依次少有展开找到键值“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTurnOffAnonymous”新建一个DWORD
的 “TurnOffAnonymousBlock Block DWORD” 键,并安装其值为“ 1”,如图3所示。

澳门金沙国际 6

  图3 修复系统设有的安全隐患

  表明:即使在事变性质中未提交解决方案,除了在google中寻觅解决方法外,还足以对错误音讯举行追踪,以找到适合的缓解措施,一般有三种方式:

  (1)微软知识库。微软知识库的稿子是由微软集团官方材料和微软MVP撰写的技能小说结合,主要解决微软产品的标题及故障。当微软每一个成品的Bug和易于失误的应用点被察觉后,都将有与其对应的KB作品分析那项错误的缓解方案。微软知识库的地方是:

  (2)通过伊夫ntid.net网站来查询

  要查询系统错误事件的解决方案,其实还有一个更好的地点,那就是Eventid.net网站地址是:
伊芙nts(搜索事件)”链接,出现风浪搜索页面。按照页面提示,输入伊芙nt
ID(事件ID)和伊芙nt
Source(事件源),并单击“Search”按钮。伊夫ntid.net的系统会找到所有相关的资源及缓解方案。最重大的是,享受那么些解决方案是完全免费的。当然,伊芙ntid.net的付花费户则能享受到更好的劳动,比如直接访问针对某事件的知识库作品集等。

  4.多方复查

  既然现身了LSA的匿名枚举,那么一定会设有登录音讯,如图4所示,单击“安全性”查看事件性质,先针对“审核失利”进行查看,可以见见IP地址“211.99.226.9”的数次延续战败的复核音讯。需求尤其注意的是,事件查看器中著录的日记必须先在安全策略中开展安装,默许意况下不记录,只要启用审核之后才记录。然后挨家挨户查看审核成功的报到记录,假若发现该IP地址登录成功,那么还索要对系统进行到底的萍乡检查,包罗修改登录密码,查看系统时候被攻击者留下了方便之门。在本例中驷马难追事件就是IP地址为211.99.226.9的服务器在进行密码攻击扫描,根据事件性质中提供的方针进行设置后,即可解决该匿名枚举的安全隐患。

澳门金沙国际 7

 

 

 

相关文章