-
2021-07-29 00:12:21
一、Windows日志文件的保护
日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。
1. 修改日志文件存放目录
Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。
点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。
笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项(如图),在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原则就是要“越不起眼,越好”。
2. 设置文件访问权限
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,***点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。
二、Windows日志实例分析
在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。
1. 查看正常开关机记录
在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
2. 查看DHCP配置警告信息
在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。
更多相关内容 -
Windows系统日志分析
2021-07-30 22:37:28系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security.evtx(系统登录等日志) win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr...展开全文Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下
Windows系统的日志分为三种
- 系统日志: System.evtx (系统组件等日志)
- 应用程序日志: Application.evtx (应用程序等日志)
- 安全日志: Security.evtx (系统登录等日志)
win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr.msc
常见的事件ID
4624 登录成功 4625 登录失败 4634 注销成功 4647 用户启动的注销 4672 管理员登录 4720 创建用户 
-
Windows系统日志分析工具-- Log Parser
2022-01-12 15:21:43对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)...展开全文可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客 写完才看见。吐了
0x01 基本设置
事件ID及常见场景
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。
4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。 6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。 104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。 安全: 4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。 4625,这个事件ID表示登陆失败的用户。 4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。 4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。例如:
1、管理员登录
使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672的事件产生。
2、执行系统命令
Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子:
进程创建 C:\Windows\System32\cmd.exe
进程创建 C:\Windows\System32\ipconfig.exe
进程终止 C:\Windows\System32\ipconfig.exe
3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?
net user USER PASSWORD /add net localgroup administrators USER /add
0x02 日志分析工具
2.1. Log Parser 2.2下载地址
https://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser的日志可以通过SQL进行查询。
2.1.1 sql字段
S:String 数组
调用格式:
EXTRACT_TOKEN(EventTypeName, 0, ' ') ) EventTypeName:字段名 0:顺序,从0开始 “|”:分隔符T:Time。时间类
I:intger。整数类
T和I二者都是直接调用:
SELECT TO_DATE(TimeGenerated), TO_UPPERCASE( EXTRACT_TOKEN(EventTypeName, 0, ' ') ), SourceName FROM System TimeGenerated2.1.2字段解释
RecordNumber:日志记录编号从0开始
TimeGenerated:事件生成时间
TimeWritten:事件记录时间
EventID:事件ID
EventType:事件类型
参考:Windows Logon Type的含义_flyhaze的专栏-CSDN博客
EventCategory:不懂。参考Windows API ReportEvent 写系统日志 - jqdy - 博客园
String:
各个位置含义:
0安全IP(SID) 1账号名称 2账户域 3登录ID 4安全ID 5账户名 6账户域 7登录ID 8登录类型 9登录进程 10身份验证数据包 11网络账户名称 12账号GUID 13网络账户域 14数据包名 15密钥长度 16进程ID 17进程路径 18源网络地址 19源端口 20模拟级别 21 22 23 24 虚拟账户 25 26 提升的令牌EventLog:
各个位置含义:
0 文件绝对路径EventTypeName
各个位置含义:
0 审核成功/审核失败SourceName:来源
各个位置含义:
0:来源位置 eg:Microsoft-Windows-Security-AuditingSID:查看结果为全空
Message:消息
各个位置含义:
0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computeData:全空
ComputerName:计算机名称
0 WIN-L5ST0VQ25FA 计算机名称EventCategoryName
0 The name for category 12544 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer主要字段为:TimeGenerated:事件生成时间 EventID:事件ID EventType:事件类型 String: EventLog ComputerName:计算机名称
2.1.3命令组成
基本格式:logparser -i:输入文件格式 [-输入文件参数] -o:输出文件格式 [-输出格式参数] "SQL 查询语句"
LogParser.exe -i:EVT "SELECT EventID as EventID,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') as ip FROM C:\Users\172.16.5.30\sec.evtx where EventID=4625"
EventID :该值为System节点下的EventID;
TimeGenerated:该值情况类似于EventID,时间
EXTRACT_TOKEN(Strings,5,'|'):该值为EventData部分的第六部分的值,为TargetUserName的值。
2.1.1. 常用命令
1.管理员登录时间和登录用户名(登陆成功)
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Strings,1,'|') as username,EXTRACT_TOKEN(Strings,5,'|') as username1,EXTRACT_TOKEN(Strings,19,'|') as ip,EventID,TimeGenerated FROM C:\sec.evtx where EventID = 4625
2. 查看(登陆失败)的记录
LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where EventID=4625"3. RDP爆破使用的用户名及爆破次数
待续。。
-
Windows操作系统的日志分析
2020-09-12 16:08:14Windows操作系统的日志分析 Windows日志简介 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件...Windows操作系统日志分析 Wi展开全文Windows操作系统的日志分析
Windows日志简介
Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件服务日志,MS SQL Server数据库日志等。主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。用户可以通过它来检查错误发生的原因,处理应急事件,提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。
Windows日志事件类型
Windows操作系统日志分析
Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。这里的事件ID与操作系统的版本有关。以下列举出常见的事件ID(操作系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本)。
Windows系统日志分为两大类:Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。应用程序 和 服 务 日 志 最 大 为 1MB 。Windows系统使用自带的事件查看器来查看分析所有的Windows系统日志。
一、打开事件查看器:控制面板→管理工具 中找到事件查看器,或者在【开始】→【运行】→输 入 eventvwr.msc 打开。
二、筛选日志进行分析
如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功
4625 登录失败。
-
LogParse-Windows系统日志分析
2019-01-24 10:14:00Windows系统日志分析 一、前言 本文将对常见的日志类型,利用微软日志分析工具(LogParser)结合已经掌握的恶意代码分析Windows系统日志,关联出系统的异常。 数据来源于Windows的事件查看器中的*.evtx文件,... -
02Windows日志分析
2022-01-21 12:24:53Windows系统日志(包括应用程序、安全、安装程序和转发的事件) 服务器角色日志 应用程序日志 服务日志 事件日志基本信息 该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息 ... -
windows日志分析-Log Parser等工具使用
2022-05-24 12:08:09Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃... -
windows安装ELK日志分析系统
2018-12-28 09:01:43windows系统安装ELK日志分析系统,主要包括elasticsearch,logstash,kibana,nssm,nxlog -
系统基础知识:筛选Windows日志与借助Windows日志分析故障
2021-07-29 00:12:25系统基础知识:筛选Windows日志与借助Windows日志分析故障 我们最关心的事情,一定是我们Windows 7系统的安全,我们学习Windows事件查看器的最终目的,也是希望通过WIndows事件查看器更加了解我们的系统,保证系统... -
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
2021-01-18 00:36:21python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址 -
windows主机日志分析(持续更新)
2022-07-20 16:12:51这篇文章记录windows事件和日志的对应关系。 -
闲聊Windows系统日志
2021-03-18 08:29:14title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:... -
应急响应——Windows日志分析
2021-09-16 19:01:56Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造) ... -
操作系统日志收集与分析
2022-07-02 10:29:07windows日志记录着windows系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,掌握计算机在特定时间的状态,以及了解用户的各种操作行为,为应急响应提供很多关键的信息。windows主要有以下三类... -
Windows 系统日志ID分析
2019-09-18 07:23:48网络链接:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4776 -
TK日志精灵 - 一款用于windows服务器环境下iis网站日志蜘蛛分析小工具
2022-07-29 23:19:57适用于windows7及以上x64版本系统,支持批量对日志文件进行解读并对各类搜索引擎访问记录、异常状态码相关访问记录等seo关键信息加以标记,并可以作为条件针对性的筛选出有问题的页面,以及蜘蛛访问轨迹,可以分析... -
Windows系统安装失败日志分析
2022-04-17 02:15:152、在系统安装升级失败后,运行SetupDiag.exe,生成日志 3、查看同目录下的SetupDiagResults.log,里面会有大概的错误代码,如 4、由错误代码下面的docs文档链接进去,可根据错误代码分析常规失败的一些原因。 5、... -
windows服务器日志分析之查看日志
2021-02-19 15:15:01Windows server 2008 R2如何查看应用程序日志 很多情况下。我们都需要查看服务器日志,针对我们这边服务器的实际情况来说,前期规划不是很好,服务器机房就在单位楼层,和平时用电在一起,有没有ups电源,所以发生... -
【日志分析】Window日志分析
2022-05-07 19:06:32Window日志分析 -
分析windows系统DCOM错误日志及解决方案.docx
2021-09-27 05:54:47分析windows系统DCOM错误日志及解决方案.docx -
介绍几款nginx日志分析图形化工具.zip
2021-01-05 20:46:42介绍几款nginx日志分析图形化工具.zip -
应急响应基础(三)——Windows日志分析
2019-11-23 20:57:59Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:... -
windows日志审计
2022-05-17 16:05:12运行 eventvwr 命令,打开事件查看器,查windows 日志,分析windows 日志时,主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。 Windows日志 分析windows日志,... -
Windows服务器异常---查看系统日志--以蓝屏为例分析
2021-08-10 01:37:29首先查看硬件状态,设备是否为正常登录状态,硬件指示灯是否正常,可以查看一下Windows系统日志。以Windows Server 2012 R2进行分析。问题分析:Windows 事件查看器显示有关操作系统、其他应用程序以及数据库服务器的... -
【安全-安全检查】操作系统日志分析(Linux+Windows)
2019-11-06 10:32:021 Linux日志分析 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间... -
【干货】Windows 服务器系统日志分析及安全
2017-05-24 17:41:46一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接;如果此处为Close... -
Windows系统安全登录日志分析工具logonTracer汉化修正版
2022-03-18 15:20:32Windows系统安全登录日志分析工具logonTracer汉化修正版 安装neo4j cd neo4j ./bin/neo4j start 下载logonTracer ##下载logontracer git clone https://github.com/TheKingOfDuck/logonTracer.git cd ... -
使用ELK分析Windows事件日志
2019-11-14 08:10:41这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生... -
windows日志转发
2022-06-17 16:42:53配置windows日志事件转发详细教程
