精华内容
下载资源
问答
  • windows系统日志分析
    千次阅读
    2021-07-29 00:12:21

    一、Windows日志文件的保护

    日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。

    1. 修改日志文件存放目录

    Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。

    点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

    笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项(如图),在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原则就是要“越不起眼,越好”。

    2. 设置文件访问权限

    修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。

    右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,***点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。

    二、Windows日志实例分析

    在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。

    1. 查看正常开关机记录

    在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。

    2. 查看DHCP配置警告信息

    在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。

    更多相关内容
  • Windows系统日志分析

    万次阅读 2021-07-30 22:37:28
    系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security.evtx(系统登录等日志) win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr...

    Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下

    Windows系统的日志分为三种

    1. 系统日志:        System.evtx        (系统组件等日志) 
    2. 应用程序日志: Application.evtx  (应用程序等日志)
    3. 安全日志:        Security.evtx        (系统登录等日志)

    win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr.msc

     

     常见的事件ID

    4624登录成功
    4625登录失败
    4634注销成功
    4647用户启动的注销
    4672管理员登录
    4720创建用户

     

    展开全文
  • Windows系统日志分析工具-- Log Parser

    千次阅读 2022-01-12 15:21:43
    对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)...

    可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客  写完才看见。吐了

     0x01 基本设置 

    事件ID及常见场景

     对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。

    4624  --登录成功   
    4625  --登录失败  
    4634 -- 注销成功
    4647 -- 用户启动的注销   
    4672 -- 使用超级用户(如管理员)进行登录
    
    系统:
    1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
    6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
    104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。
    
    安全:
    4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
    4625,这个事件ID表示登陆失败的用户。
    4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
    4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

    例如:

    1、管理员登录

     使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672的事件产生。

    2、执行系统命令

    Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子:

    进程创建 C:\Windows\System32\cmd.exe 

    进程创建 C:\Windows\System32\ipconfig.exe

    进程终止 C:\Windows\System32\ipconfig.exe 

    3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?

    net user  USER  PASSWORD /add
    net localgroup administrators USER /add

     0x02 日志分析工具

    2.1. Log Parser 2.2下载地址

    https://www.microsoft.com/en-us/download/details.aspx?id=24659

    Log Parser的日志可以通过SQL进行查询。

    2.1.1 sql字段

    S:String 数组   

    调用格式:

    EXTRACT_TOKEN(EventTypeName, 0, ' ') )
    EventTypeName:字段名
    0:顺序,从0开始
    “|”:分隔符

    T:Time。时间类

    I:intger。整数类

    T和I二者都是直接调用:

    SELECT TO_DATE(TimeGenerated), TO_UPPERCASE( EXTRACT_TOKEN(EventTypeName, 0, ' ') ), SourceName FROM System
    
    TimeGenerated

    2.1.2字段解释

    RecordNumber:日志记录编号从0开始

    TimeGenerated:事件生成时间

    TimeWritten:事件记录时间

    EventID:事件ID

    EventType:事件类型

    参考:Windows Logon Type的含义_flyhaze的专栏-CSDN博客

    EventCategory:不懂。参考Windows API ReportEvent 写系统日志 - jqdy - 博客园

    String:

    各个位置含义:

    0安全IP(SID)        1账号名称         2账户域         3登录ID         4安全ID        5账户名
    
    6账户域        7登录ID        8登录类型        9登录进程        10身份验证数据包
    
    11网络账户名称        12账号GUID        13网络账户域        14数据包名        15密钥长度
    
    16进程ID        17进程路径        18源网络地址        19源端口        20模拟级别
    
    21        22        23         24 虚拟账户        25         26 提升的令牌

    EventLog:

    各个位置含义:

    0 文件绝对路径  

    EventTypeName

    各个位置含义:

    0 审核成功/审核失败

    SourceName:来源

    各个位置含义:

    0:来源位置
    
    eg:Microsoft-Windows-Security-Auditing

    SID:查看结果为全空

    Message:消息

    各个位置含义:

    0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote compute

    Data:全空

    ComputerName:计算机名称

    0 WIN-L5ST0VQ25FA   
    计算机名称

    EventCategoryName

    0 The name for category 12544 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer 
    

    主要字段为:TimeGenerated:事件生成时间         EventID:事件ID        EventType:事件类型        String:         EventLog        ComputerName:计算机名称

    2.1.3命令组成

            基本格式:logparser -i:输入文件格式 [-输入文件参数] -o:输出文件格式 [-输出格式参数] "SQL 查询语句"

    LogParser.exe -i:EVT "SELECT  EventID as EventID,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') as ip FROM  C:\Users\172.16.5.30\sec.evtx where EventID=4625"

    EventID :该值为System节点下的EventID;

    TimeGenerated:该值情况类似于EventID,时间

    EXTRACT_TOKEN(Strings,5,'|'):该值为EventData部分的第六部分的值,为TargetUserName的值。

    2.1.1. 常用命令

            1.管理员登录时间和登录用户名(登陆成功)

    LogParser.exe -i:EVT "SELECT  EXTRACT_TOKEN(Strings,1,'|') as username,EXTRACT_TOKEN(Strings,5,'|') as username1,EXTRACT_TOKEN(Strings,19,'|') as ip,EventID,TimeGenerated FROM  C:\sec.evtx where EventID = 4625

            2. 查看(登陆失败)的记录

    LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where EventID=4625"

            3. RDP爆破使用的用户名及爆破次数

    待续。。

    展开全文
  • Windows操作系统日志分析

    千次阅读 2020-09-12 16:08:14
    Windows操作系统的日志分析 Windows日志简介 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件...Windows操作系统日志分析 Wi

    Windows操作系统的日志分析

    Windows日志简介

    Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件服务日志,MS SQL Server数据库日志等。主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。用户可以通过它来检查错误发生的原因,处理应急事件,提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。

    Windows日志事件类型

    在这里插入图片描述

    Windows操作系统日志分析

    Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。这里的事件ID与操作系统的版本有关。以下列举出常见的事件ID(操作系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本)。

    在这里插入图片描述
    Windows系统日志分为两大类:Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。应用程序 和 服 务 日 志 最 大 为 1MB 。Windows系统使用自带的事件查看器来查看分析所有的Windows系统日志。
    一、打开事件查看器:控制面板→管理工具 中找到事件查看器,或者在【开始】→【运行】→输 入 eventvwr.msc 打开。
    在这里插入图片描述
    二、筛选日志进行分析
    如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功
    4625 登录失败。

    在这里插入图片描述

    展开全文
  • LogParse-Windows系统日志分析

    千次阅读 2019-01-24 10:14:00
    Windows系统日志分析 一、前言 本文将对常见的日志类型,利用微软日志分析工具(LogParser)结合已经掌握的恶意代码分析Windows系统日志,关联出系统的异常。 数据来源于Windows的事件查看器中的*.evtx文件,...
  • 02Windows日志分析

    千次阅读 2022-01-21 12:24:53
    Windows系统日志(包括应用程序、安全、安装程序和转发的事件) 服务器角色日志 应用程序日志 服务日志 事件日志基本信息 该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息 ...
  • windows日志分析-Log Parser等工具使用

    千次阅读 2022-05-24 12:08:09
    Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃...
  • windows系统安装ELK日志分析系统,主要包括elasticsearch,logstash,kibana,nssm,nxlog
  • 系统基础知识:筛选Windows日志与借助Windows日志分析故障 我们最关心的事情,一定是我们Windows 7系统的安全,我们学习Windows事件查看器的最终目的,也是希望通过WIndows事件查看器更加了解我们的系统,保证系统...
  • python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
  • windows主机日志分析(持续更新)

    万次阅读 2022-07-20 16:12:51
    这篇文章记录windows事件和日志的对应关系。
  • 闲聊Windows系统日志

    千次阅读 2021-03-18 08:29:14
    title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:...
  • 应急响应——Windows日志分析

    千次阅读 2021-09-16 19:01:56
    Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造) ...
  • 操作系统日志收集与分析

    千次阅读 2022-07-02 10:29:07
    windows日志记录着windows系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,掌握计算机在特定时间的状态,以及了解用户的各种操作行为,为应急响应提供很多关键的信息。windows主要有以下三类...
  • Windows 系统日志ID分析

    千次阅读 2019-09-18 07:23:48
    网络链接:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4776
  • 适用于windows7及以上x64版本系统,支持批量对日志文件进行解读并对各类搜索引擎访问记录、异常状态码相关访问记录等seo关键信息加以标记,并可以作为条件针对性的筛选出有问题的页面,以及蜘蛛访问轨迹,可以分析...
  • 2、在系统安装升级失败后,运行SetupDiag.exe,生成日志 3、查看同目录下的SetupDiagResults.log,里面会有大概的错误代码,如 4、由错误代码下面的docs文档链接进去,可根据错误代码分析常规失败的一些原因。 5、...
  • windows服务器日志分析之查看日志

    千次阅读 2021-02-19 15:15:01
    Windows server 2008 R2如何查看应用程序日志 很多情况下。我们都需要查看服务器日志,针对我们这边服务器的实际情况来说,前期规划不是很好,服务器机房就在单位楼层,和平时用电在一起,有没有ups电源,所以发生...
  • Window日志分析
  • 分析windows系统DCOM错误日志及解决方案.docx
  • 介绍几款nginx日志分析图形化工具.zip
  • 应急响应基础(三)——Windows日志分析

    千次阅读 多人点赞 2019-11-23 20:57:59
    Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:...
  • windows日志审计

    千次阅读 2022-05-17 16:05:12
    运行 eventvwr 命令,打开事件查看器,查windows 日志分析windows 日志时,主要是查看安全日志分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。 Windows日志 分析windows日志,...
  • 首先查看硬件状态,设备是否为正常登录状态,硬件指示灯是否正常,可以查看一下Windows系统日志。以Windows Server 2012 R2进行分析。问题分析:Windows 事件查看器显示有关操作系统、其他应用程序以及数据库服务器的...
  • 1 Linux日志分析 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间...
  • 一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close...
  • Windows系统安全登录日志分析工具logonTracer汉化修正版 安装neo4j cd neo4j ./bin/neo4j start 下载logonTracer ##下载logontracer git clone https://github.com/TheKingOfDuck/logonTracer.git cd ...
  • 使用ELK分析Windows事件日志

    千次阅读 2019-11-14 08:10:41
    这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生...
  • windows日志转发

    万次阅读 2022-06-17 16:42:53
    配置windows日志事件转发详细教程

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 135,703
精华内容 54,281
关键字:

windows系统日志分析