Jump to content

Event Viewer verstehen


Recommended Posts

Hallo Leute,

 

ich weiss nicht so genau, ob ich hier richtig bin. Falls nicht, bitte ich dies zu entschuldigen.

System ist noch WS 2019

 

 

Ich habe letztes Jahr noch den MCSA gemacht, den es mittlerweile ja nicht mehr gibt. Leider gibt es den MCSE Security usw auch nicht mehr.

Falls doch, korrigiert mich. Das wäre großartig!

 

Meine Frage ist, ob mir 'mal jemand den Event Viewer erklären kann oder Referenzen dazu hat.

Es geht jetzt ersteinmal speziell um den RDP Login (IP whitelisted)

Ich habe zwar das System soweit abgeschottet aber habe in der Security Log sehr viele Einträge.

Task Category: Logon, Special Logon, Credential Validation, Security Group Management

Dazu sind unter "General" und "Details" genaue Infos zu sehen.

Und genau darum geht es mir. Das ist größtenteils für mich nicht zu verstehen.

 

Ich habe da in den logs Logon, special Logon und User Account Management Einträge, zu Zeiten wo nicht connected wird.

Unter "General" und "Details" stehen genauere Infos. Ich kann da auch maximal die Remote-IP rauslesen.

Da scheint Windows intern irgendetwas zu checken - vermute ich.

Aber ich will das 'mal versetehen und die Logs lesen können. Das ist schon sehr beängstigend nicht zu wissen, was da eigentlich passiert.

 

Kann mir da sonst vielleicht jemand ein gutes Buch empfehlen?

Welche Einträge sind da Relevant?

In einigen sieht man die Remote IP - in anderen nicht - ohne Kennzeichnung in der Übersicht was Remote ist und was lokal

Ich finde das alles etwas verwirrend.

Wäre schön da ein paar Infos zu bekommen

 

Schonmal dickes Danke für's lesen ;)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Link to post

Moin,

 

Deine Frage ist nachvollziehbar, aber leider so nicht zu beantworten. Um zu verstehen, was du verstehen willst, musst du nicht den Event Viewer verstehen, sondern die jeweilige Komponente, die ihre Meldungen ins Log schreibt. Ja, das kann jeweils eine sehr große Aufgabe sein.

 

Leider wird dir faktisch nicht viel anderes übrig bleiben, als intensiv in der jeweiligen Situation zu recherchieren.

 

Gruß, Nils

Link to post
vor 15 Stunden schrieb mattisq:
 

Kann mir da sonst vielleicht jemand ein gutes Buch empfehlen?

Welche Einträge sind da Relevant?

Das nicht, aber die Dokumentation des Herstellers: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-auditing-faq

Und die Relevanz der Einträge hängt davon ab, was Du versuchst festzustellen.

Ich habe schon global agierende Konzerne erlebt, wo noch nie jemand ins Security Log auf irgendeinem System geschaut hat.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...