XYZCG的博客

Splunk是一款更能强大的、记录详细的日志分析软件，能处理常见的日志格式，比如Apache、Squid、系统日志、邮件日志等，可对所有日志先进行索引然后可以交叉查询，支持复杂的查询语句，最后通过直观的方式表现出来。将搜索条件改为最初条件，如下，对于导入的日志数据，可以对其进行导出，单击“导出”，在弹出的对话框中可对导出结果进行命名，格式可以选择CSV、原始事件、XML或者JSON，搜索框内容为source=“C:\Users\Administrator\Desktop\access_log”。

一般而言，在启动服务器后，一个叫做winlogon.exe的进程会先以NTAUTHORITY\SYSTEM(帐户域\帐户权限)登录，然后进入要求用户键入ctrl+alt+del并输入帐密的登录界面，此时，winlogon.exe检查并验证用户的输入，通常的做法是将用户键入的密码以某种哈希算法生成密文，将其与SAM数据库文件中的密文进行比对，如果一致则该账户通过验证并登录，然后赋予相应的权限。展开Windows日志，点击安全项目，此时在中间的窗口会列出自系统安装以来，记录的所有安全事件。