Microsoft Windows NTでは、システムの起動時にイベント番号4608が生成され、Microsoft-Windows-Security-Auditingセキュリティイベントログにこのイベントを表示できます。それについてもっと読むことができます。このTechNetの記事まだこのようなことを経験していない場合。
TechNetの記事で説明されているように、Windowsシステム管理者はそれを使用してシステムの起動時期を追跡できます。これは、ユーザー空間サブシステムの起動にかなり初期であり、デフォルトであるためです。実際、多数のセキュリティ監査イベントが記録されます。
私はUnixでこれに対応するものを探しています。 Windowsなど、特定の(必要な正確な名前を知るのに十分な知識がないため、Windows NT用語を使用して)「デバイスプロセス名」または「デバイスイベントカテゴリID」?それでは、どこにあり、私は何を探していますか?
それ以外の場合、サーバーの起動、シャットダウン、ユーザーログインの失敗などに関する同じ情報をどのように見つけることができますか? Microsoft Windows NTシステムイベントログでセキュリティ監査イベントを検索したときに検出した内容はすべて同じでした。
追加読書
ベストアンサー1
私はWindowsに慣れていませんが、あなたの説明によると、ログの構造はかなり異なるようです。
Linuxでは、ログメッセージは正式な構造を持たず、最終的に一連の行として保存されます。各行は開始プロセスの時間と名前を表しますが、「イベント4608」などの正式なエンコーディングはありません。システム起動は多数のログメッセージを生成し、ログメッセージ分析には既知のパターンを含む行を見つけることが含まれます。 「デバイスプロセス名」を見つけるのではなく(何を意味するのかわかりません)、文字列を見つけて、grepより洗練されたログ解析ツールを使用または使用します。
ログはディレクトリに保存されます/var/log。通常、ログファイルは複数あります。ログメッセージが別のファイルに転送される方法はシステム構成によって異なり、展開ごとにデフォルト値が異なります。一部のメッセージは複数のファイルに書き込むことができます。
一般的なブートはカーネルログに何百ものエントリを生成します。これらは通常は場所です/var/log/kern.logが、一部のディストリビューションでは他のファイルに配置することもできます。最初のメッセージは次のように始まります。
Aug 16 16:51:40 darkstar kernel: Linux version
(正確なカーネルバージョンは次のとおりです)。これは、ロギングプロセスのタイムゾーンに基づいてコンピュータが起動された時間を示します。
システム起動イベントの場合、情報をより簡単に抽出できる他の場所があります。現在のユーザーのログインセッションを記録するバイナリファイルがあります(/var/log/utmp/var/log/wtmp)過去のセッションを記録するファイルがあります。記録にはシステムの再始動も記録されます。走るlastそれだけで、この歴史的情報を見ることができます。再開イベントのみを表示するには、ユーザー名エントリを見つけますreboot。
last | awk '$1 == "reboot"'