abbas-abc/windows-logs-monitoring

# Windows 日志监控与分析 一个初级网络安全与系统管理项目，侧重于使用内置的 Windows Event Viewer 工具理解 Windows 日志监控。 ## 概述 从一台运行中的 Windows 机器上收集并分析了三类日志的真实数据：Security（安全）、System（系统）和 Application（应用程序）。详细探索了每类日志，打开并记录了单个事件，并在此过程中截图留存作为证据。 ## 分析内容 | 日志类型 | 事件总数 | 关键发现 | |---|---|---| | Security | 35,165 | 1 次审核失败（登录失败 — Event 4625） | | System | 40,469 | NetBIOS 命名冲突 (Event 2505) | | Application | 32,588 | 通过 Security-SPP 进行的许可周期 | ## 涵盖的关键事件 ID - **4624** — 成功登录 - **4625** — 登录失败（审核失败） - **4634** — 账户注销 - **6013** — 系统运行时间（170,584 秒 / ~47.4 小时） - **105** — 电源变更 - **2505** — 网络传输绑定错误 - **16384** — SPP 服务重启已计划 - **16394** — 许可迁移成功 - **0** — 通用 edgeupdate 事件 ## 最重要发现 **Event ID 2505** — 在 System 日志中发现了一个真实的 NetBIOS 命名冲突。同一网络中的另一台设备使用了相同的计算机名，这导致服务器服务无法静默启动。如果不进行日志分析，这一发现几乎不可能被诊断出来。 ## 使用工具 - Windows Event Viewer (eventvwr.msc) - Microsoft Windows（实机） ## 文件 - [包含截图和分析的完整项目报告](https://github.com/abbas-abc/windows-logs-monitoring/blob/main/report/Windows_Logs_Project_Report.pdf) ## 展示技能 - Windows 日志导航与分析 - Event ID 识别与解读 - Security 事件监控 - 通过日志数据进行系统故障检测 - 文档记录与报告撰写

标签：4625, Awesome, Conpot, Event Tracing, Event Viewer, NetBIOS冲突, Windows Server, Windows安全, 事件ID, 事件查看器, 初学者项目, 安全日志, 应用程序日志, 故障排查, 数字取证, 权限审计, 登录失败, 系统日志, 系统稳定性, 系统管理, 网络安全, 自动化脚本, 运维, 隐私保护