win10系统,在开始菜单上右键,依次选择:
打算机管理》事宜查看器》windows日志》系统
在右边的操作栏中,筛选当前日志,在<所有事宜ID>中填入6005
ailx10
网络安全精良回答者
网络安全硕士
去咨询
虽然本日是8月6日,但是我最近的开机韶光依然是7月31日
同理,在<所有事宜ID>中填入6006,便是关机记录,可以看到最近关机记录是7月24日,之后电脑一贯没有关,解释和合上条记本的盖子,并不算关机
往后可能要研讨一下EDR终端,那么就不得不面对windows和linux的系统日志,顺便记录一下,centos 7 的开机事宜和关机事宜,可以看到:8月6日有3个开机事宜,2个关机事宜。然后,7月16日有1个开机事宜,7月23日有一个开机事宜,但是都没有对应的关机事宜
不过,我们依然能够找到一个crash事宜,也便是非常关机事宜,比如直接断电,以是,开机和关机事宜总能成双成对的涌现
网络安全任重道远,有人问写这有啥用?检测出是人工关机还是断电对吧。可不是
EDR 规则培植的时候能用到,须要闇练记住事宜ID
发布于 2022-08-06 18:48 知乎