Como descobrir quem apagou os logs do Event Viewer

5

No Windows Server 2003, alguém excluiu os registros de segurança e de aplicativos.

Gostaria de saber quando os registros foram excluídos e, se possível, quem é esse criminoso. :)

    
por Twisty Impersonator 07.12.2015 / 15:43

2 respostas

4

No Windows 2003, quando o log de segurança é limpo, um novo evento é automaticamente gravado nele contendo as informações que você está procurando.

Exemplo:

Event ID: 517
Source: Security

The audit log was cleared 
    Primary User Name:  SYSTEM
    Primary Domain: NT AUTHORITY
    Primary Logon ID:   (0x0,0x3E7)
    Client User Name:   User's Name
    Client Domain:  CompanyDomain
    Client Logon ID:    (0x0,0x493DDA90)

Mais informações da Microsoft

This event record indicates that the audit log has been cleared. This event is always recorded, regardless of the audit policy. It is recorded even if auditing is turned off.

Além disso, você teria que ter as diretivas de auditoria a> já existente e configurada para ter qualquer chance de ter registros adicionais de ações tomadas pelos usuários do sistema.

    
por 07.12.2015 / 15:56
1

Limpar o log insere uma entrada no arquivo de log. Abaixo está um exemplo do meu servidor de teste, ele registra o nome de usuário e a hora e a data.

Log Name:      System
Source:        Microsoft-Windows-Eventlog
Date:          07/12/2015 14:52:05
Event ID:      104
Task Category: Log clear
Level:         Information
Keywords:      
User:          CONTOSO\admin
Computer:      ad.contoso.local
Description:
The System log file was cleared.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" />
    <EventID>104</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>104</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2015-12-07T14:52:05.515696000Z" />
    <EventRecordID>4270</EventRecordID>
    <Correlation />
    <Execution ProcessID="812" ThreadID="3612" />
    <Channel>System</Channel>
    <Computer>ad.contoso.local</Computer>
    <Security UserID="S-1-5-21-3235254930-1055063838-1000765035-500" />
  </System>
  <UserData>
    <LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
      <SubjectUserName>admin</SubjectUserName>
      <SubjectDomainName>CONTOSO</SubjectDomainName>
      <Channel>System</Channel>
      <BackupPath>
      </BackupPath>
    </LogFileCleared>
  </UserData>
</Event>
    
por 07.12.2015 / 15:53