1、 Windows日志简介

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

1)系统日志

记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

默认位置

%SystemRoot%\System32\Winevt\Logs\System.evtx

2)应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

默认位置

%SystemRoot%\System32\Winevt\Logs\Application.evtx

3)安全日志

记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

默认位置

%SystemRoot%\System32\Winevt\Logs\Security.evtx

2、事件ID说明

1)如何查看Windows日志

  • 方式1:在“开始”菜单上,依次指向“所有程序”“管理工具”,然后单击“事件查看器”

  • 方式2:按 "Window+R",输入 ”eventvwr.msc“ 也可以直接进入“事件查看器

    image-20201026235350386

2)部分事件说明

对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明:

事件ID 说明
4624 登录成功
4625 登录失败
4634 注销成功
4647 用户启动的注销
4672 使用超级用户(如管理员)进行登录
4720 创建用户

每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:

登录类型 描述 说明
2 交互式登录(Interactive) 用户在本地进行登录。
3 网络(Network) 最常见的情况就是连接到共享文件夹或共享打印机时。
4 批处理(Batch) 通常表明某计划任务启动。
5 服务(Service) 每种服务都被配置在某个特定的用户账号下运行。
7 解锁(Unlock) 屏保解锁。
8 网络明文(NetworkCleartext) 登录的密码在网络上是通过明文传输的,如FTP。
9 新凭证(NewCredentials) 使用带/Netonly参数的RUNAS命令运行一个程序。
10 远程交互,(RemoteInteractive) 通过终端服务、远程桌面或远程协助访问计算机。
11 缓存交互(CachedInteractive) 以一个域用户登录而又没有域控制器可用

关于更多EVENT ID,可参考官方文档《附录 L:事件监视器》

其他参考链接:

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

3、日志分析工具

1)Log Parser

  • Win+R输入 eventvwr.msc。选择“Windows日志”
  • 导出应用程序、系统和安全日志后,使用Log Parser

image-20201027001058668

image-20201027001344556

基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

举例

  • 查询登录成功的事件

    # 所有登陆成功的事件
    LogParser.exe -i:EVT -o:DATAGRID  "SELECT *  FROM C:\Users\d4m1ts\Desktop\安全.evtx where EventID=4624"
    
    # 时间段内登陆成功的事件
    LogParser.exe -i:EVT -o:DATAGRID  "SELECT *  FROM C:\Users\d4m1ts\Desktop\安全.evtx where EventID=4624 and  TimeGenerated>'2020-09-22 01:34:10' and TimeGenerated<'2020-09-22 01:34:20'"
    

    image-20201027002108991

  • 查询登陆失败的事件

    LogParser.exe -i:EVT -o:DATAGRID  "SELECT *  FROM C:\Users\d4m1ts\Desktop\安全.evtx where EventID=4625"
    

使用示例https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

有思路可以直接让GPT帮忙写就行。

4、注意事项

  • Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。审核策略与事件查看器
Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2024-07-09 11:47:55

results matching ""

    No results matching ""