العودة إلى الدورة

تسجيل السجلات الأساسي في أحداث Windows

احتراف الأمن السيبراني: من الصفر إلى الاحتراف

مراقبة نشاط Windows

يخزن Windows سجلات مفصلة عن نشاط النظام والتطبيقات والأمن في Event Log.

سجلات الأحداث الرئيسية

  1. سجل التطبيقات (Application Log): الأحداث التي تسجلها التطبيقات (مثل خطأ في تطبيق ما).
  2. سجل الأمن (Security Log): يحتوي على سجلات التدقيق المتعلقة بالمصادقة (تسجيل الدخول/الخروج) والوصول إلى الكائنات (فتح/تغيير ملفات).
  3. سجل النظام (System Log): الأحداث التي تسجلها مكونات نظام تشغيل Windows (مثل أعطال التعريفات، أحداث بدء التشغيل).

أحداث حيوية للمراقبة (سجل الأمن)

معرف الحدث (Event ID)الوصف
4624نجاح تسجيل دخول الحساب.
4625فشل تسجيل دخول الحساب (غالباً ما يشير لتخمين كلمة المرور).
4720تم إنشاء حساب مستخدم جديد.
4732/4733تغيرت عضوية مجموعة أمنية (مؤشر لرفع الصلاحيات).

لمراقبة الأمن، يتم توجيه هذه السجلات إلى نظام SIEM للتحليل.