精华内容
下载资源
问答
  • Windows安全加固系列---日志配置操作
    千次阅读
    2019-06-24 16:45:26

    此文章是关于Windows安全加固中对日志加固的配置与操作

    1 审核登录

    设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。

    检测操作步骤 开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核策略”
    审核登录事件。

    审核登录事件,设置为成功和失败都审核。

    2 审核策略更改

    启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。

    检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
    查看“审核策略更改”设置。

    “审核策略更改”设置为“成功” 和“失败”都要审核。

    3 审核对象访问
    启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。

    检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
    查看“审核对象访问”设置。

    “审核对象访问”设置为“成功”和“失败”都要审核。

    4 审核事件目录服务器访问

    启用组策略中对Windows系统的审核目录服务访问,失败。

    检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
    查看“审核目录服务器访问”设置。

    “审核目录服务器访问”设置为“成功” 和“失败”都要审核。

    5 审核特权使用

    启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。

    检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
    查看“审核特权使用”设置。

    “审核特权使用”设置为“成功” 和“失败”都要审核。

    6 审核系统事件
    启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。

    检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
    查看“审核系统事件”设置。

    “审核系统事件”设置为“成功” 和“失败”都要审核。

    7 审核账户管理

    启用组策略中对Windows系统的审核账户管理,成功和失败都要审核。

    检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
    查看“审核账户管理” 设置。

    “审核账户管理”设置为“成功” 和“失败”都要审核。

    8 审核过程追踪

    启用组策略中对Windows系统的审核过程追踪失败。

    检测操作步骤 进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
    查看“审核过程追踪”设置。

    “审核过程追踪”设置为 “失败”需要审核。

    9 日志文件大小

    设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。

    检测操作步骤 进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
    查看“应用日志” “系统日志” “安全日志”属性中的日志大小 ,以及设置当达到最大的日志尺寸时的相应策略。

    “应用日志” “系统日志” “安全日志”属性中的日志大小设置不小于“8192KB” ,设置当达到最大的日志尺寸时,“按需要改写事件”

    425984"KB 六个月

    更多相关内容
  • 根据国家《网络安全法》网络安全日志要求保存六个月以上,如何进行操作。
  • Windows日志基本操作

    2009-08-17 15:51:07
    Windows日志基本操作(创建,添加,删除) 开发语言:c#2.o
  • windows日志安全 实验目的: (1)了解windows日志的重要性。 (2)进行基本的windows日志设置,管理删除windows日志。
  • Windows日志

    万次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息,日志获取和...

    学习目标

    1. Windows事件日志简介:存储位置、内容、查看方法。
    2. Windows事件日志分析:开关机、登录、注销、连接网络、插U盘。
    3. 安全审核:TCP、UDP。

    一,Windows事件日志简介

    Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。

    二,打开事件查看器命令:eventvwr

    在这里插入图片描述
    Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录

    记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件ID、来源、任务类别、描述、数据等信息。

    在这里插入图片描述

    三,Windows事件日志共有五种事件级别

    所有的事件必须只能拥有其中的一种事件级别

    1.信息(Information)
    信息事件指应用程序、驱动程序或服务的成功操作的事件。
    2.警告(Warning)
    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
    3.错误(Error)
    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
    4. 成功审核(Success audit)
    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。
    5.失败审核(Failure audit)
    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    四,Windows日志文件

    从1993年的Windows NT3.1起,微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/Win2000/XP/Server 2003中, 日志文件的扩展名一直是evt,存储位置为“%systemroot%\System32\config”。

    从Windows Vista和Server 2008开始,日志文件的文件名、结构和存储位置发生了巨大改变, 文件扩展名改为evtx (XML格式),存储位置改为“%systemroot%\System32\WinEvt\logs”

    ri在这里插入图片描述
    1、系统日志
    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:WINDOWS\system32\winevt\Logs\System.evtx

    2.应用程序日志
    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:\WINDOWS\system32\winevt\Logs\Application.evtx

    3.安全日志
    记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

    默认位置:
    Vista/Win7/Win8//Win10/Server 2008/Server 2012
    C:\WINDOWS\system32\winevt\Logs\Security.evtx。

    1.安全日志:是渗透测试工作人员关注的重点
    虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。
    2.系统和应用程序日志存:储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
    

    五,对常用安全事件的分析

    1.用户登录与注销

    场景
    .判断哪个用户尝试进行登录
    .分析被控制的用户的使用情况
    事件ID
    .4624登录成功
    .4625登录失败
    .4634/4647 一注销成功
    .4672使用超级用户(如管理员)进行登录

    2.追踪硬件变动

    场景
    .分析哪些硬件设备什么时间安装到系统中
    事件ID
    .20001 -即插即用驱动安装(System日志)
    .20003-即插即用驱动安装(System日志)
    .46636-移动设备访问成功(Securiy日志)
    .4656 -移动设备访问失败(Security日志)

    3.追踪WiFi信息

    场景
    .分析连接到的WiFi属性
    事件ID
    .10000-连接WiFi(networkprofile日志)
    .10001-断开WiFi(networkprofile日志)

    事件id10000

    六,日志获取和分析工具

    除了使用“事件日志查看器”外,我们也可以使用其他日志上具宣
    询事件日志。以下列举了一些我们经常用到的日志获取和分析工具

    .事件日志查看器
    . Microsoft LogParser
    . Log Parser Lizard

    七,分析事件的方法—筛查

    手动/脚本筛查

    1.利用PowerShell 来自动筛选 Windows 事件日志

    ①Get-WinEvent强大但发杂

     Get-WinEvent 超级强大,但使用起来比较麻烦

    Get-WinEvent -FilterHashtable @{Logname='system';Id='6006','6005'}
    

    在这里插入图片描述

    ②Get- EventLog简单但一般

     Get- EventLog 使得起来相当简单,

    Get-EventLog Security  -InstanceId  4624,4625
    

    在这里插入图片描述

    2.在powershell中对筛选出的Windows事件进一步处理

    ①用变量储存方便查看

    $events=Get-EventLog Security  -InstanceId  4624,4625
    

    例如
    在这里插入图片描述
    会发现有…显示不全–>用列表的形式
    ②用列表的形式查看全部信息

    $events[2]|fl *
    

    在这里插入图片描述

    七,分析日志的思路

    1.分析Windows登录类型

    ①登录类型

    登录类型2交互式登录(Interactive): 就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
    登录类型3:网络(Network): 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。
    登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
    登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。
    登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。
    登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。
    登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。
    登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
    登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

    ②常见登录类型日志分析

    1、本地交互式登录,也就是我们每天最常使用的登录方式。
    首先是成功的登录,从日志分析来看至少会有2个事件发生,分别为ID4648、 4624。
    审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登录

    失败登录会产生ID为4625的事件日志。
    审核失败 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登录

    2、使用RDP协议进行远程登录,这也是日常经常遇到的情况。
    使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录, ID为4624,审核成功,登录类型为10(远程交互)。并且描述信息中的主机名(源工作站)仍为被尝试登录主机的主机名,而不是源主机名。
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登录
    审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登录

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为10(远程交互)。审核失败,列出了登录失败的账户名和失败原因。

    3、远程访问某台主机的共享资源,如某个共享文件夹。
    首先是使用正确的用户名和密码访问远程共享主机,登录事件ID为4624, 登录类型为3(Network),审核成功。列出了源网络地址和端口。
    审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登录

    如果访问共享资源使用的帐户名、密码正确,但是该用户对指定的共享文件夹没有访问权限时仍然会有ID为4624的认证成功事件产生。
    接下来的是事件ID为5140的文件共享日志,显示了访问的共享文件夹名称。
    审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为3(网络)。审核失败,列出了登录失败的账户名和失败原因。

    4、解锁登录
    解锁登录和远程登录一样,成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录, ID为4624,审核成功,登录类型为7(Unlock)。
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登录
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登录
    审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登录

    使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为7(unlock)。审核失败,列出了登录失败的账户名和失败原因。。

    最后我们总结一下“审计登录”事件:
    · 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成4648事件。
    · 成功的登录通常会有4624事件产生,在创建登录会话后在被访问的计算机上生成此事件。
    · 如果用户有特权会有4672事件产生。
    · 通常情况下只需关注登录类型为2、3、7、10类型的4625登录失败事件。
    

    2.安全审核

    操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容,来分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。

     审核事件ID
    审计目录服务访问
      4934 - Active Directory 对象的属性被复制
      4935 -复制失败开始
      4936 -复制失败结束
      5136 -目录服务对象已修改
      5137 -目录服务对象已创建
      5138 -目录服务对象已删除
      5139 -目录服务对象已经移动
      5141 -目录服务对象已删除
      4932 -命名上下文的AD的副本同步已经开始
      4933 -命名上下文的AD的副本同步已经结束
      审计登录事件
      4634 - 帐户被注销
      4647 - 用户发起注销
      4624 - 帐户已成功登录
      4625 - 帐户登录失败
      4648 - 试图使用明确的凭证登录
      4675 - SID被过滤
      4649 - 发现重放攻击
      4778 -会话被重新连接到Window Station
      4779 -会话断开连接到Window Station
      4800 – 工作站被锁定
      4801 - 工作站被解锁
      4802 - 屏幕保护程序启用
      4803 -屏幕保护程序被禁用
      5378 所要求的凭证代表是政策所不允许的
      5632 要求对无线网络进行验证
      5633 要求对有线网络进行验证
      审计对象访问
      5140 - 网络共享对象被访问
      4664 - 试图创建一个硬链接
      4985 - 交易状态已经改变
      5051 - 文件已被虚拟化
      5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接
      4698 -计划任务已创建
      4699 -计划任务已删除
      4700 -计划任务已启用
      4701 -计划任务已停用
      4702 -计划任务已更新
      4657 -注册表值被修改
      5039 -注册表项被虚拟化
      4660 -对象已删除
      4663 -试图访问一个对象
      审计政策变化
      4715 - 对象上的审计政策(SACL)已经更改
      4719 - 系统审计政策已经更改
      4902 - Per-user审核政策表已经创建
      4906 - CrashOnAuditFail值已经变化
      4907 - 对象的审计设置已经更改
      4706 - 创建到域的新信任
      4707 - 到域的信任已经删除
      4713 - Kerberos政策已更改
      4716 - 信任域信息已经修改
      4717 - 系统安全访问授予帐户
      4718 - 系统安全访问从帐户移除
      4864 - 名字空间碰撞被删除
      4865 - 信任森林信息条目已添加
      4866 - 信任森林信息条目已删除
      4867 - 信任森林信息条目已取消
      4704 - 用户权限已分配
      4705 - 用户权限已移除
      4714 - 加密数据复原政策已取消
      4944 - 当开启Windows Firewall时下列政策启用
      4945 - 当开启Windows Firewall时列入一个规则
      4946 - 对Windows防火墙例外列表进行了修改,添加规则
      4947 - 对Windows防火墙例外列表进行了修改,规则已修改
      4948 - 对Windows防火墙例外列表进行了修改,规则已删除
      4949 - Windows防火墙设置已恢复到默认值
      4950 - Windows防火墙设置已更改
      4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视
      4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分
      4953 - 因为Windows防火墙不能解析规则,规则被忽略
      4954 - Windows防火墙组政策设置已经更改,将使用新设置
      4956 - Windows防火墙已经更改主动资料
      4957 - Windows防火墙不适用于以下规则
      4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:
      6144 - 组策略对象中的安全政策已经成功运用
      6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误
      4670 - 对象的权限已更改
      审计特权使用
      4672 - 给新登录分配特权
      4673 - 要求特权服务
      4674 - 试图对特权对象尝试操作
      审计系统事件
      5024 - Windows防火墙服务已成功启动
      5025 - Windows防火墙服务已经被停止
      5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策
      5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策
      5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策
      5030 - Windows防火墙服务无法启动
      5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
      5033 - Windows防火墙驱动程序已成功启动
      5034 - Windows防火墙驱动程序已经停止
      5035 - Windows防火墙驱动程序未能启动
      5037 - Windows防火墙驱动程序检测到关键运行错误,终止。
      4608 -Windows正在启动
      4609 - Windows正在关机
      4616 - 系统时间被改变
      4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录
      4697 - 系统中安装服务器
      4618 - 监测安全事件样式已经发生

    展开全文
  • 闲聊Windows系统日志

    2021-03-18 08:29:14
    title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:...

    title: "闲聊Windows系统日志"

    date: 2021-02-22T18:59:49+08:00

    draft: true

    tags: ['windows']

    author: "dadigang"

    author_cn: "大地缸"

    personal: "http://www.real007.cn"

    闲聊Windows系统日志

    2018-07-302018-07-30 17:38:54阅读 4.2K0

    \ 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止转载*

    前言

    最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着头脑,所以就认真的分析了evtx格式的系统日志。这篇文章可能记录的不是很全面,师傅们多多指教。

    Windows系统日志简介

    Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。处理应急事件时,客户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。

    Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证,了解计算机上上发生的具体行为。

    查看系统日志方法,Windows系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows系统日志。打开事件查看器方法:开始->运行->输入eventvwr->回车的方式快速打开该工具。使用该工具可以看到系统日志被分为了两大类:Windows日志和应用程序和服务日志。早期版本中Windows日志只有,应用程序,安全,系统和Setup,新的版本中增加了设置及转发事件日志(默认禁用)。

    系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

    Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:

    信息(Information)

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告(Warning)

    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误(Error)

    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

    成功审核(Success audit)

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

    失败审核(Failure audit)

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    事件日志文件存储位置(Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本)

    类型

    事件类型

    描述

    文件名

    Windows日志

    系统

    包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。

    System.evtx

    安全

    包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。

    Security.evtx

    应用程序

    包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。

    Application.evtx

    应用程序及服务日志

    Microsoft

    Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。

    详见日志存储目录对应文件

    Microsoft Office Alerts

    微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。

    OAerts.evtx

    Windows PowerShell

    Windows自带的PowerShell应用的日志信息。

    Windows PowerShell.evtx

    Internet Explorer

    IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。

    Internet Explorer.evtx

    表1 事件日志存储位置

    提示:%SystemRoot%为系统环境变量,默认值为C:\WINDOWS。

    图 EVTX事件日志文件

    使用事件查看器工具可以将这些EVTX事件日志文件导出为evtx,xml,txt和csv格式的文件。

    常见的Windows事件的分析方法

    Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本:

    事件ID

    说明

    1102

    清理审计日志

    4624

    账号成功登录

    4625

    账号登录失败

    4768

    Kerberos身份验证(TGT请求)

    4769

    Kerberos服务票证请求

    4776

    NTLM身份验证

    4672

    授予特殊权限

    4720

    创建用户

    4726

    删除用户

    4728

    将成员添加到启用安全的全局组中

    4729

    将成员从安全的全局组中移除

    4732

    将成员添加到启用安全的本地组中

    4733

    将成员从启用安全的本地组中移除

    4756

    将成员添加到启用安全的通用组中

    4757

    将成员从启用安全的通用组中移除

    4719

    系统审计策略修改

    表 常见Windows账户及相关shijain 对照表

    五种事件类型中,最为重要的是成功审核(Success Audit),所有系统登录成功都会被标记成为成功审核。每个成功登录的事件都会标记一个登录类型:

    登录类型

    描述

    2

    交互式登录(用户从控制台登录)

    3

    网络(例如:通过net use,访问共享网络)

    4

    批处理(为批处理程序保留)

    5

    服务启动(服务登录)

    6

    不支持

    7

    解锁(带密码保护的屏幕保护程序的无人值班工作站)

    8

    网络明文(IIS服务器登录验证)

    10

    远程交互(终端服务,远程桌面,远程辅助)

    11

    缓存域证书登录

    表 登录类型

    Windows XML 事件日志格式

    系统事件日志主要保存的类型为: .evtx,.xml, .txt,.csv。对于后三种文件格式已经比较了解,现在分析下evtx后缀额格式。事件日志(evtx)文件是一种二进制格式的文件。

    图 evtx文件类型

    文件头部签名为十六进制45 6C 66 46 69 6C 65 00(ElfFile\x00)。Evtx文件结构包含三部分:文件头,数据块,结尾空值。文件头由4096字节大小组成,具体的结构如下表:

    偏移

    长度

    描述

    0

    8

    “ElFile\x00”

    签名

    8

    8

    第一个数据块

    16

    8

    最后一个数据块

    24

    8

    下一个记录标识符

    32

    4

    128

    头的大小

    36

    2

    1

    次版本号

    38

    2

    3

    主版本号

    40

    2

    4096

    数据块偏移量

    42

    2

    数据块的数量

    44

    76

    空值

    120

    4

    文件标志

    124

    4

    校验和

    128

    3968

    空值

    表 File Header内容

    Windows XML 事件日志大小

    事件日志文件大小 = (数据块的数量*65536)+4096。

    文件头偏移量为120的数据值为文件标志,该部分的组成如下表:

    标识符

    描述

    0x0001

    已更新

    0x0002

    已填充

    图 File Header文件格式

    每个数据块大小为65536字节,数据块的头部标签名为45 6C 66 43 68 6E 6B 00(ElfChnk\x00),数据块由数据块头部,事件记录,闲置空间,数据块文件头由512字节大小组成,具体结构如下表:

    偏移

    长度

    描述

    0

    8

    “ElfChnk\x00”

    签名

    8

    8

    第一个事件记录编号

    16

    8

    最后一个事件记录编号

    24

    8

    第一个事件记录标识符

    32

    8

    最后一个事件记录标识符

    40

    4

    128

    指针数据偏移量

    44

    4

    最后一个事件记录数据偏移量

    48

    4

    自由空间偏移

    52

    4

    事件记录校验和

    56

    64

    空值

    120

    4

    未知

    124

    4

    校验和

    表 Chunk header

    图 Chunk Header文件格式

    数据块包含多个事件记录,一个事件记录对应一条日志信息。事件记录的的大小及组成如下表:

    偏移量

    长度

    描述

    0

    4

    “**\x00\x00”

    签名

    4

    4

    事件记录块的大小

    8

    8

    事件记录标识符

    16

    8

    事件记录写入时间

    24

    事件记录内容

    4

    尺寸拷贝

    表 Event Record

    Windows事件日志取证分析注意要点

    Windwos操作系统默认没有提供删除特定日志记录的功能,仅提供了删除所有日志的操作功能。也就意味着日志记录ID(Event Record ID)应该是连续的,默认的排序方式应该是从大到小往下排列。

    通过对Windows事件日志的取证分析,取证人员可以对操纵系统、应用程序、服务、设备等操作行为记录,通过关键的时间点进行回溯。

    事件查看器单条日志记录删除思路

    分析事件记录格式后,了解到Windows系统在解析事件记录日志时,按照Event Record的大小逐条读取日志的内容。假设修改某条日志的长度,使长度覆盖下一条日志,理论上Windows系统解析日志时,就会跳过下一条日志,相当于下一条日志被”删除”。 DanderSpritz中的eventlogedit 就是这个思路,仅仅时修改了程度,实际上并没有删除日志内容。实现思路如下图:

    图 删除事件记录思路

    为了确保修改后的日志文件能够被正确识别,还需要修改多个标志位和重新计算校验和。

    图 不正确修改事件日志

    为了确保不出现如上图所示的错误,总结一下删除单条日志内容的方法:

    File Header中的Next recordidentifier的值减一(偏移量为24字节)

    重新计算File Header中CheckSum(偏移量为124字节)

    修改Event Record,找到需删除的记录和需删除前一条记录并计算日志的长度,更新Event Record的Event record identifier

    更新ElfChnk,需要修改的内容为:Last event record number,Last event recordidentifier,Last event record data offset,Event recordschecksum,Checksum

    根据以上的方式进行删除单条日志是NAS方程式组织的DanderSpritz中的eventlogedit实现方式。实际上只是将信息进行了隐藏,在此基础上,将指定日志的内容清空,就能够实现真正的日志删除。

    单条日志删除

    准备:测试文件(test.evtx—系统中的Setup.evtx),Winhex,python

    该文件中包含了8条日志,下面演示删除第8条记录的实践过程。使用事件查看器打开确认最后一条事件的EventRecordID,该实验中的值为8。

    图 test.evtx文件

    File Header中的Next recordidentifier的值减一

    File Header是整个文件最开始的部分,Nextrecord identifier的偏移量为24(0x18),其长度为8字节。实验文件test.evtx内容如下:

    图 test.evtx文件内容

    Next record identifier的值为0x09。将该值减一0x08 写入。这儿需要提一下的是,该文件的字节序为小端,因此低位会在前面。

    重新计算File Header中CheckSum

    计算方法:前120字节做CRC32运算,偏移量为124(0x7c),长度为4。修改后的文件内容如下图:

    图 修改后的test.evtx

    现在提取前120字节的内容:

    456C6646696C650000000000000000000000000000000000080000000000000080000000010003000010010000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

    使用python中binascii模块计算CRC32。代码如下:

    图 计算CRC32代码

    输出的结果为:0xfb027480,修改文件内容,修改后如下图:

    图 修改checksum

    修改Event Record

    通过find hex values查找2A2A0000,定位到第8条Event Record。该条Event Record的长度为 0x180。如下图:

    图 第8条EventRecord

    第7条Event Record的长度为0x170。如下图:

    图 第7条EventRecord

    计算需要修改的内容长度。新长度为0x170+0x180=0x2f0。由于是删除最后一条记录,所以不需要更新Event record identifier。修改长度的位置有两个,分别为第7条日志的长度和第 8条日志的最尾部。

    图 第7条日志

    图 第8条日志

    更新ElfChnk

    搜索ElfChuk关键字,找到对应ElfChuk位置。如下图:

    图 Elfchnk

    修改如下内容:

    Last event record number减1,为0x07

    Last event record identifier减1,为0x07

    Last event record data offset,为0x13c8

    Event records checksum,为0xf403d736

    Checksum,为0x7563439c

    Event records checksum的数据计算范围:chunk中的事件记录的偏移量是固定的,是从文件头偏移0x1200个字节,意思就是checksum的数据起始位置为0x1200。事件记录的结束位置的计算方式:chunk的起始块地址+ Free space offset= events records data。

    Checksum的数据计算范围:是固定地址0x1000-0x1078,0x1080-0x1200 。

    修改后的ElfChnk如下图:

    图 修改后的ElfChnk

    经过修改后,使用系统自带的事件查看器打开,此时日志文件中最后一条记录被成功删除。

    图 成功删除单条日志记录

    此处讲的是删除最后一条记录的详细过曾,删除第一条和中间的记录在实际操作中会有一些不一样的部分,只要对了解evtx文件的格式,删除evtx格式内容中的记录方法并不唯一。只需要删除对应的数据块,并最终使该文件的校验通过即可。

    恢复被删除的记录

    使用以上的方式删除单挑记录,其实被删除的数据并没有真正的被删掉,严格意义上讲就是将部分数据进行了隐藏。恢复原本的数据可以使用fox-it的danderspritz-evtx工具,原因就是用删除数据的思路反向恢复就行。使用该工具,确实可以将被删除的数据提取出来,不过恢复的evtx格式的文件并不能被打开。暂时没有研究该代码的实现过程,所以不能下分析具体原因。

    工具使用如下图:

    图 danderspritz-evtx使用

    恢复数据被导出为xml格式文件,如下图:

    图 该条为被删除的第8条记录

    恢复的evtx格式文件打开出错,如下图:

    如果需要将日志真正的删除,可以使用\x00填充被隐藏的数据部分填充。并重新计算相应的checksum。

    参考链接

    展开全文
  • windows日志文件查看与清理

    千次阅读 2021-09-12 19:12:50
    (2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT; 系统日志...

    日志查看

    (1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。 在这里插入图片描述

    (2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。

    安全日志文件:%systemroot%\system32\config\SecEvent.EVT;

    系统日志文件:%systemroot%\system32\config\SysEvent.EVT;

    应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;

    DNS日志:%systemroot%\system32\config\DnsEvent.EVT;

    在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。例如选中“应用程序”右键属性,如下图:

    在这里插入图片描述

    选中事件查看器中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”。或者点击属性页面的筛选器标签,日志筛选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录

    (3) 查看www和ftp日志文件夹下的日志文件

    (由于实验环境中不允许访问互联网,无法操作得出日志文件。请参考指导书使用个人电脑进行实验。)

    尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录如下图。

    在这里插入图片描述

    日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息,采取一定的防护措施。

    在这里插入图片描述

    ftp的日志中同样会记录ftp服务的登陆用户,以及登陆之后的操作。

    (4) 计划任务日志

    当入侵者得到远程系统的shell之后,常会利用计划任务运行功能更加强大的木马程序,计划任务日志详细的记录的计划任务的执行时间,程序名称等详细信息。

    打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。

    在这里插入图片描述

    日志清除

    (1) 删除事件查看器中的日志

    主机下载使用elsave清除日志工具

    下载地址:http://tools.hetianlab.com/tools/Elsave.rar

    先用ipcKaTeX parse error: Undefined control sequence: \ipc at position 42: …e \\对方IP(实验台IP)\̲i̲p̲c̲ “密码” /user:“用户名”;

    连接成功后,开始进行日志清除。

    清除目标系统的应用程序日志输入elsave.exe -s \对方ip -l “application” -C

    清除目标系统的系统日志输入elsave.exe -s \对方IP -l “system” -C

    清除目标系统的安全日志输入elsave.exe -s \对方IP -l “security” -C

    输入如下图

    在这里插入图片描述

    回车后可以查看远程主机内的系统日志已经被删除了

    在这里插入图片描述

    (2) 删除常见服务日志

    IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹。

    手动清除:日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。进入到远程主机后(也可直接在实验台中操作),cmd下切换到这个目录下,然后 del .。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除,使用net 命令停止服务如下:

    C:>net stop w3svc

    World Wide Web Publishing Service 服务正在停止。

    World Wide Web Publishing Service 服务已成功停止。

    日志w3svc停止后,然后清空它的日志, del .

    C:>net start w3svc

    清除ftp日志,日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。

    (3) 删除计划任务日志

    先来删除计划任务日志:

    在实验台中命令行进入日志所在文件夹下(%systemroot%\Tasks), 删除schedlgu.txt , 提示无法访问文件,因为另一个程序正在使用此文件。说明服务保护,需要先把服务停掉。命令行中输入net stop schedule;

    在这里插入图片描述

    下面的服务依赖于Task Scheduler 服务。停止Task Scheduler 服务也会停止这些服务。

    Remote Storage Engine

    Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。

    如上显示服务停掉了,同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt;

    删除后需要再次启动该任务以便主机能够正常工作,输入net start schedule:

    在这里插入图片描述
    答案

    在这里插入图片描述

    分析与思考

    1、还有哪些途径可以发现网络中存在的攻击或者入侵。

    日志文件、进程、自启动项目、网络连接、安全模式、映像劫持、CPU时间

    2、清理日志能否把所有的痕迹都清理干净。

    不能,还应删除操作记录,所做的每一个操作,都要被抹掉;所上传的工具,都应该被安全地删掉

    补充
    电脑被入侵排查方法

    一、进程
    首先排查的就是进程了,方法简单,开机后,什么都不要启动!
    第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。
    PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!
    第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
    PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
    第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
    PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
    二、自启动项目
    进程排查完毕,如果没有发现异常,则开始排查启动项。
    第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
    PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
    第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
    第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
    PS:这个需要有一定的经验。
    三、网络连接
    ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
    然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到http://www.ip138.com/查询,对应的进程和端口等信息可以到Google或百度查询。
    如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。
    四、安全模式
    重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!
    五、映像劫持
    打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。
    六、CPU时间
    如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:
    打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了SystemIdleProcess和SYSTEM以外,CPU时间较大的进程,这个进程需要一起一定的警惕。
    

    在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。

    01、清除history历史命令记录
    
    第一种方式:
    
    (1)编辑history记录文件,删除部分不想被保存的历史命令。
    
    vim~/.bash_history
    
    (2)清除当前用户的history命令记录
    
    history-c
    
    第二种方式:
    
    (1)利用vim特性删除历史命令
    
    #使用vim打开一个文件
    
    vitest.txt
    
    #设置vim不记录命令,Vim会将命令历史记录,保存在viminfo文件中。
    
    :sethistory=0
    
    #用vim的分屏功能打开命令记录文件.bash_history,编辑文件删除历史操作命令
    
    vsp~/.bash_history
    
    #清除保存.bash_history文件即可。
    
    (2)在vim中执行自己不想让别人看到的命令
    
    :sethistory=0
    
    :!command
    
    第三种方式:
    
    通过修改配置文件/etc/profile,使系统不再保存命令记录。
    
    HISTSIZE=0
    
    第四种方式:
    
    登录后执行下面命令,不记录历史命令(.bash_history)
    
    unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
    
    02、清除系统日志痕迹
    
    Linux 系统存在多种日志文件,来记录系统运行过程中产生的日志。
    
    /var/log/btmp记录所有登录失败信息,使用lastb命令查看
    
    /var/log/lastlog记录系统中所有用户最后一次登录时间的日志,使用lastlog命令查看
    
    /var/log/wtmp记录所有用户的登录、注销信息,使用last命令查看
    
    /var/log/utmp记录当前已经登录的用户信息,使用w,who,users等命令查看
    
    /var/log/secure记录与安全相关的日志信息
    
    /var/log/message记录系统启动后的信息和错误日志
    
    第一种方式:清空日志文件
    
    清除登录系统失败的记录:
    
    [root@centos]#echo>/var/log/btmp
    
    [root@centos]#lastb//查询不到登录失败信息
    
    清除登录系统成功的记录:
    
    [root@centos]#echo>/var/log/wtmp
    
    [root@centos]#last//查询不到登录成功的信息
    
    清除相关日志信息:
    
    清除用户最后一次登录时间:echo>/var/log/lastlog#lastlog命令
    
    清除当前登录用户的信息:echo>/var/log/utmp#使用w,who,users等命令
    
    清除安全日志记录:cat/dev/null>/var/log/secure
    
    清除系统日志记录:cat/dev/null>/var/log/message
    
    第二种方式:删除/替换部分日志
    
    日志文件全部被清空,太容易被管理员察觉了,如果只是删除或替换部分关键日志信息,那么就可以完美隐藏攻击痕迹。
    
    #删除所有匹配到字符串的行,比如以当天日期或者自己的登录ip
    
    sed-i'/自己的ip/'d/var/log/messages
    
    #全局替换登录IP地址:
    
    sed-i's/192.168.166.85/192.168.1.1/g'secure
    
    03、清除web入侵痕迹
    
    第一种方式:直接替换日志ip地址
    
    sed-i's/192.168.166.85/192.168.1.1/g'access.log
    
    第二种方式:清除部分相关日志
    
    #使用grep-v来把我们的相关信息删除,
    
    cat/var/log/nginx/access.log|grep-vevil.php>tmp.log
    
    #把修改过的日志覆盖到原日志文件
    
    cattmp.log>/var/log/nginx/access.log/
    
    04、文件安全删除工具
    
    (1)shred命令
    
    实现安全的从硬盘上擦除数据,默认覆盖3次,通过 -n指定数据覆盖次数。
    
    [root@centos]#shred-f-u-z-v-n81.txt
    
    shred:1.txt:pass1/9(random)...
    
    shred:1.txt:pass2/9(ffffff)...
    
    shred:1.txt:pass3/9(aaaaaa)...
    
    shred:1.txt:pass4/9(random)...
    
    shred:1.txt:pass5/9(000000)...
    
    shred:1.txt:pass6/9(random)...
    
    shred:1.txt:pass7/9(555555)...
    
    shred:1.txt:pass8/9(random)...
    
    shred:1.txt:pass9/9(000000)...
    
    shred:1.txt:removing
    
    shred:1.txt:renamedto00000
    
    shred:00000:renamedto0000
    
    shred:0000:renamedto000
    
    shred:000:renamedto00
    
    shred:00:renamedto0
    
    shred:1.txt:removed
    
    (2)dd命令
    
    可用于安全地清除硬盘或者分区的内容。
    
    ddif=/dev/zeroof=要删除的文件bs=大小count=写入的次数
    
    (3)wipe
    
    Wipe 使用特殊的模式来重复地写文件,从磁性介质中安全擦除文件。
    
    wipefilename
    
    (4)Secure-Delete
    
    Secure-Delete 是一组工具集合,提供srm、smem、sfill、sswap,4个安全删除文件的命令行工具。
    
    srmfilename
    
    sfillfilename
    
    sswap/dev/sda1
    
    smem
    
    05、隐藏远程SSH登陆记录
    
    隐身登录系统,不会被w、who、last等指令检测到。
    
    ssh-Troot@192.168.0.1/bin/bash-i
    
    不记录ssh公钥在本地.ssh目录中
    
    ssh-oUserKnownHostsFile=/dev/null-Tuser@host/bin/bash–i
    
    展开全文
  • Windows系统日志分析工具-- Log Parser

    千次阅读 2022-01-12 15:21:43
    对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)...
  • c++开发者,windows c++项目需要日志功能的项目,trace,debug,info,warn,error,fail等6个等级,可根据配置文件设置等级,支持多线程,项目中log为测试程序,可供读者学习使用
  • windows下 利用ELK做日志收集

    千次阅读 2021-12-06 17:39:11
    环境:Windows10 参考文章:ELK+logback:日志存储及可视化_夜太黑-CSDN博客https://blog.csdn.net/longchao2/article/details/80136872 环境搭建:(三者都可以直接下载压缩包解压后即可使用) ElasticSearch...
  • Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...
  • 日志服务保留时间

    千次阅读 2021-08-12 06:50:28
    日志服务保留时间 内容精选换一换执行一MapReduce应用会产生两种类型日志文件:作业日志和任务日志。作业日志由MRApplicationMaster产生,详细记录了作业启动时间、运行时间,每任务启动时间、运行时间、Counter...
  • https://blog.csdn.net/weixin_34391445/article/details/92104235
  • windows终端事件日志监控指南

    千次阅读 2019-08-22 17:30:29
    windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,...
  • 目录 写在前面 脚本 ...所以做了一脚本将日志按日期输出。至于怎么将Tomcat日志输出到文件。请参照:https://blog.csdn.net/u010191818/article/details/78629485 经过测试发现按照网上的做...
  • 轻松构建windows 日志收集服务器

    千次阅读 2017-11-16 02:27:00
    以前我在讲MCITP课程时,经常会提到事件日志查看这项Windows 产品自带的功能,但是总感觉如果企业规模小,服务器数量少的话,那么管理员登录到每台服务器查看报错日志还可以,但是当我在运维过程中发现随着服务器...
  • 服务器行为操作日志

    千次阅读 2021-08-12 08:25:20
    服务器行为操作日志 内容精选换一换日志记录网管操作的信息以及NetEco中发生的重要事件。通过查询日志信息可以了解NetEco的运行情况和网管的具体操作情况。为加强对系统数据的容灾管理,云堡垒机支持配置日志备份,...
  • 日志是Linux 安全结构中的一重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间通常会与多程序的...
  • 一、设置Tomcat自启动 1,在cmd中打开service.bat文件  2、输入service.bat 3、结果如图 4、输入安装命令起名为Tomcat,命令:service.bat install Tomcat,结果如下,跳出窗口选择“是”,表示安装成功...
  • Windows登录日志详解

    万次阅读 2016-10-07 09:21:26
    日志在很多时候是非常重要的,尤其是登录日志。从登录日志中可以发现很多有价值的信息,window2008及以后的日志基本一致,2003由于时间太长,微软都停止更新了,所以重点介绍2008的登录日志
  • MySQL 的数据库错误日志设置

    千次阅读 2019-04-29 14:51:46
    1. 数据库错误日志设置 概述 这篇文章主要讨论怎样配置MySQL 的诊断日志信息.还有对于设置错误信息的字符集和语言设置. 这些错误日志包含了MySQL 启动和关闭的次数.也包含了错误,警告,和注释的相关诊断信息. MySQL ...
  • windows系统安全日志取证工具

    千次阅读 2019-04-11 21:54:00
    Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。 0x02 查看日志 传统的查看Windows安全日志方法是...
  • windows下mysql慢查日志

    千次阅读 2019-06-18 21:17:07
    慢查日志是为了帮助我们分析mysql执行sql时在执行哪些语句或者操作时非常耗时,从而帮助我们优化sql执行,达到提高响应速度和用户满意度的工具。常用mysql慢查日志工具有:mysqldumpslow和pt-query-digest,以及...
  • windows系统下,按照syslog协议,将客户端日志上传到服务器 步骤: 1.准备工作,从syslog-win32网站上下载源代码压缩包(syslog-win32-0.3.tar.bz2)。 解压缩后, 在include目录下得的syslog.h头文件; 下载syslog....
  • LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。此工具将在登录相关事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。这样,可以查看在哪个帐户中尝试登录...
  • 最近在运维项目中遇到了需要用日志服务器来存储防火墙日志,问了好多人都不会搭建,没办法只能自己百度找教程,却没找到比较好的。 下面是我自己总结的比较简单的搭建方法: 一、Kiwi_Syslog的安装 下载地址:链接...
  • tomcat 多实例,日志保留期限

    千次阅读 2020-11-09 12:09:50
    1,tomcat: 作为Windows服务进行管理 http://tomcat.apache.org/tomcat-8.0-doc/windows-service-howto.html 1, 递归创建目录: apache-tomcat-8-muti-instance/instances/instance1 2 , 解压tomcat: 把bin, lib 放...
  • 目录 windows 上通过批处理启动 jar包并生成启动日志文件 1、创建启动bat脚本 ...第行是 启动jar包、限制内存及输出控制台日志 并且在后台运行 @echo off rem netstat -aon|findstr "8089" rem task

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 204,811
精华内容 81,924
关键字:

windows日志设置6个月以上