-
2022-01-21 12:24:53
计算机系统日志作用
系统日志是记录系统中硬件、软件中的系统问题信息,同时还可以监视系统中发生的事件
用户可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹
Windows日志分类
Windows系统日志(包括应用程序、安全、安装程序和转发的事件)
服务器角色日志
应用程序日志
服务日志
事件日志基本信息
该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息
事件类型及描述
事件类型 错误 出现问题可能会影响触发事件的应用程序或组件外部的功能 警告 出现问题可能会影响服务器或导致更严重的问题 信息 应用程序或组件发送了改变 关键 出现故障导致触发事件的应用程序或组件无法自动恢复 审核成功 用户权限成功 审核失败 用户权限失败 安全性日志
通过日志审核功能,可以快速检测黑客的渗透和攻击,防止非法用户的再次入侵
主要通过以下事件策略审核:
- 对策略的审核
- 对登陆成功或失败的审核
- 对访问对象的审核
- 对进程跟踪的审核
- 对账户管理的审核
- 对特权使用的审核
- 对目录服务访问的审核
常规日志分析
查看系统日志方法
【开始】-【运行】-输入eventvwr.msc
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pOdz5uIo-1642739079996)(images/image-20220118111644755.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lbvHIkhw-1642739079999)(images/image-20220118111800290.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PUYh6VqV-1642739080001)(images/image-20220118111917893.png)]
事件类型分类
Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种
1、信息(Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件
2、警告(Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发送的问题
例如:当磁盘空间不足或未找到打印机时,都会记录一个“告警”事件
3、错误(Error)
错误事件指用户应该知道的重要的问题
错误事件通常指功能和数据的丢失
例如:如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件
4、成功审核(Success audit)
成功的审核安全访问尝试
主要是指安全性日志,这里记录着用户登陆/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登陆等事件,例如所有的成功登陆系统都会被记录为“成功审核”事件
5、失败审核(Failure audit)
失败的审核安全登陆尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为“失败审核”事件记录下来
常用事件ID
事件ID 说明 1102 清理审计日志 4624 账号登录成功 4625 账号登录失败 4768 Kerberos身份验证(TGT请求) 4769 Kerberos服务票证请求 4776 NTLM身份验证 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启用安全的全局组中 4729 将成员从安全的全局组中移除 4732 将成员添加到启用安全的本地组中 4733 将成员从启用安全的本地组中移除 4756 将成员添加到启用安全的通用组中 4757 将成员从启用安全的通用组中移除 4719 系统审计策略修改 登陆类型以及描述
登陆类型 描述 2 交互式登陆(用户从控制台登陆) 3 网络(例如:通过net use,访问共享网络) 4 批处理(为批处理程序保留) 5 服务启动(服务登录) 6 不支持 7 解锁(带密码保护的屏幕保护程序的无人值班工作站) 8 网络明文(IIS服务器登陆验证) 10 远程交互(终端服务、远程桌面、远程辅助) 11 缓存域证书登录 更多相关内容 -
应急响应——Windows日志分析
2021-09-16 19:01:56Windows日志分类: 应用程序日志、系统日志、安全日志 系统日志 记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作...Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造)
Windows日志分类:
应用程序日志、系统日志、安全日志系统日志
记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx
系统和应用程序日志储存着系统故障信息,如,蓝屏、重启等故障信息,对系统管理员和运维人员有用
安全人员主要查看的是安全日志,其中包括 事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么设置系统日志
Windows Server 2008 R2默认未开启系统审核功能
开启方法##WIN+R输入运行 secpol.msc
安全设置——本地策略——审核策略——设置如下配置
设置日志属性
##WIN+R运行 eventvwr.msc
安全日志大小为2M,按需要覆盖事件
安全事件说明
##用户事件管理 4720————新建用户————net user test /add 4722————启用新账户 4724————更改账户密码 4725————禁用用户账户————net user test /active:no 4726————删除用户————net user test /delete 4731————创建一个新组 4732————将用户添加到本地组————net localgroup 组名 test /add 4733————从组中删除用户 4734————删除启用的组————net localgroup 组名 /delete 4735————安全组更改 4738————更改用户账户 4798————枚举本地用户组 4727————启用安全性的组 4728————向安全的全局组中添加新成员 4729————从组中删除用户 4737————任何更改安全组的操作 4741————创建一个新的计算机账户 4742————任何更改计算机账户 4754————删除计算机账户 4755————在安全组中做任何修改时 4756————将用户添加到安全性的通用组 4799————枚举组中成员时 ##用户登录事件 4624————登录成功 4625————登录失败 4634——从系统注销用户 4647——用户启动的注销,当用户远程登陆,并注销时,会发生此事件 4648——使用其他用户凭证登录或绕过登录凭证打开管理员权限进程时发生 4672——使用被分配管理员权限的账户进行登录
登录成功时(4624),登录类型说明
5表示 每种服务都被配置在某个特定的用户账号下运行。
安全日志分析举例
通过筛选某一具体事件ID来分辨,服务器收到了什么样的攻击
-
如,筛选4625事件,发现事件数共有一万多条,且这些登录失败事件相对集中在某一段时间内,说明服务器账号可能收到了暴力破解
-
又如,我们筛选4647,发现了一条4647事件,说明服务器可能已经被远程登录提权,且攻击者临走时注销了提权账号
-
再如,我们再日志中发现了一条4724事件,表示某个账户的密码被修改了,我们询问管理员得知没有人修改账户密码,那此事件发生的原因可能是攻击者修改了某一不常用账号企图获得权限维持
日志分析工具
Log Parser
https://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser的图形化界面工具:
LogParser Lizardhttp://www.lizard-labs.com/log_parser_lizard.aspx
安装依赖
Microsoft .NET Framework 4 .5,下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=42642
Event Log Explorer
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息https://event-log-explorer.en.softonic.com/
-
-
windows日志分析-Log Parser等工具使用
2022-05-24 12:08:09Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃...Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志
系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx 包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。 安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx 记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
1.手工日志分析
1.日志文件位置
控制面板→ 管理工具 → 事件查看器
或者win + R:eventvwr.msc
2.EVENT ID含义
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,常见如下
4624 登录成功 4625 登录失败 4634 注销成功 4647 用户启动的注销 4672 使用超级用户登录(管理员)进行登录 4720 创建用户 4776 成功/失败的账户认证
https://blog.csdn.net/weixin_33695450/article/details/92324221
https://www.csdn.net/tags/NtDaYg0sMjM4OS1ibG9n.html3.eventlog事件快速筛选
成功完成筛选筛选系统日志
6006,6005,6009就表示不同状态的机器的情况 6005 信息 EventLog 事件日志服务已启动 6006 信息 EventLog 事件日志服务已停止 6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
查看下6009
当然也可以一直查看6005-6009
2.Log Parser等工具使用日志分析
Log Parser下载
使用教程:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示。
1.Log Parser的使用
安装的目录再C:\Program Files (x86)\Log Parser 2.2LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”
我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的格式。
输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例)
登录成功的所有事件 LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624”
待定…
2.Event Log Explorer
下载地址:https://event-log-explorer.en.softonic.com/
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
参考:https://blog.csdn.net/lza20001103/article/details/124637558?spm=1001.2014.3001.5502 -
Windows 日志分析
2017-09-14 20:59:14Windows 2000 的日志文件通常包括以下日志,当然以下不完全: 应用程序日志安全日志系统日志DNS服务器日志FTP日志WWW日志 日志文件的默认位置 应用程序日志、安全日志、系统日志、DNS日志默认位置: %...使用方式
开始-程序-管理工具-计算机管理-系统工具-事件查看器。
然后开始清理日志。各项日志说明
Windows 2000 的日志文件通常包括以下日志,当然以下不完全:
- 应用程序日志
- 安全日志
- 系统日志
- DNS服务器日志
- FTP日志
- WWW日志
日志文件的默认位置
应用程序日志、安全日志、系统日志、DNS日志默认位置:
%systemroot%system32config
,默认文件大小为512KB,管理员一般都会改变这个默认大小。安全日志文件:
%systemroot%system32configSecEvent.EVT
系统日志文件:
%systemroot%system32configSysEvent.EVT
应用程序日志文件:
%systemroot%system32configAppEvent.EVT
Internet信息服务FTP日志文件:
%systemroot%system32logfilesmsftpsvc1
,默认每天一个日志Internet信息服务WWW日志文件:
%systemroot%system32logfilesw3svc1
,默认每天一个日志Scheduler服务日志:
%systemroot%schedlgu.txt
以上日志在注册表中的键
应用程序日志、安全日志、系统日志、DNS服务器日志,他们这些LOG在注册表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多子表,里面可以查到以上日志的定位目录。
Schedluler服务日志在注册表中的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
FTP与WWW日志详解
FTP日志
FTP与WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如
ex001023
,就是2000年10月23日产生的日志,用记事本就可以打开,假设如下所示。1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录) 0318 127.0.0.1 [1]PASS -530 (登录失败) 032:04 127.0.0.1 [1]USER nt 331 (ip地址为127.0.0.1用户名为 nt 的用户试图登录) 032:06 127.0.0.1 [1]PASS -530 (登录失败) 032:09 127.0.0.1 [1]USER cyz 331 (ip地址为127.0.0.1用户名为 cyz 的用户试图登录) 0322 127.0.0.1 [1]PASS -530 (登录失败) 0322 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录) 0324 127.0.0.1 [1]PASS -230 (登录成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目录失败) 0325 127.0.0.1 [1]QUIT -550 (推出FTP)
从日志可以看到IP地址为127.0.0.1的用户一直在试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知攻击者的
入侵时间
,IP地址
以及探测的用户名
,如上例入侵者最终是使用administrator
登录的,那么就要考虑更换此用户的密码,或更改用户名。WWW日志
WWW服务同FTP服务一样,产生的日志也是在
%systemroot%system32LogFilesW3SVC1
目录下,默认是每天一个日志文件,下面例举一个典型的WWW日志文件。1 2 3 4 5 6 7 8
#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)
第一条记录是,2000年10月23日,IP地址为192.168.1.26的客户通过访问192.168.1.37服务器的80端口,查看了一个iisstart.asp的页面,这个用户的浏览器为Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt),有经验的管理员可以通过安全日志、FTP日志和WWW日志来确定攻击者的IP。
即使删除了FTP日志和WWW日志,但是还是会在系统日志和安全日志中记录下来,较好的是只显示了你的机器名,并没有IP地址。
属性里记录了出现警告的原因,是因为有人试图用administrator用户名登录,出现了一个错误,来源是FTP服务。
这里有两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录注销失败。
双击第一个失败审核事件,可以获得这个事件的详细描述。
经过分析我们可以得知有一个名为
CYZ
的工作站,用administrator的用户名登录本机,但是因为用户名未知或密码错误(实际上是密码错误)未能成功。另外还有DNS服务器日志,这里暂略。日志清理
通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志、WWW日志和Scedlgu日志都可以轻易删除。
首先要获取Administrator密码或Administrator用户组成员之一,然后Telnet远程连接
1 2 3
del schedlgu.txt net stop "task scheduler"
分别进入FTP和WWW的目录
1
del ex*.log
停止系统日志的守护进程
1
net stop eventlog
其他常见工具
clearlog.exe
这里我们介绍一个工具 clearlog.exe
使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>
-app = 应用程序日志
-sec = 安全日志
-sys = 系统日志
a. 可以清除远程计算机的日志
先用ipc连接上去: net use \ipipc$ 密码/user:用户名 然后开始清除: 方法
clearlogs \ip -app 这个是清除远程计算机的应用程序日志
clearlogs \ip -sec 这个是清除远程计算机的安全日志
clearlogs \ip -sys 这个是清除远程计算机的系统日志
b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
然后清除. 方法:
clearlogs -app 这个是清除远程计算机的应用程序日志
clearlogs -sec 这个是清除远程计算机的安全日志
clearlogs -sys 这个是清除远程计算机的系统日志c.bat
1 2 3 4 5 6 7 8 9
rem ============================== 开始 @echo off clearlogs -app clearlogs -sec clearlogs -sys del clearlogs.exe del c.bat exit rem ============================== 结束
在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果
第一行表示: 运行时不显示窗口
第二行表示: 清除应用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系统日志
第五行表示: 删除 clearlogs.exe 这个工具
第六行表示: 删除 c.bat 这个批处理文件
第七行表示: 退出用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法
AT 时间 c:c.batcleaniis.exe
工具:cleaniis.exe
使用方法:
1 2 3
iisantidote <logfile dir> <ip or string to hide> iisantidote <logfile dir><ip or string to hide> stop stop opiton will stop iis before clearing the files and restart it after
< logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
使用方法解释:
cleaniis.exe iis日志存放的路径 清除参数
什么意思呢??我来给大家举个例子吧:
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. —–推荐使用这种方法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
这个表示清除这个目录里面的所以的日志
c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变
这个测试表示 在日志里面没有这个ip地址.
我们看一下日志的路径 再来看一下
我们的ip(192.168.0.1)已经没有了.
已经全部清空. 同样这个也可以建立批处理. 方法同上面的那个清除历史记录及运行的日志
cleaner.exe
直接运行就可以了参考资料
-
windows安装ELK日志分析系统
2018-12-28 09:01:43windows系统安装ELK日志分析系统,主要包括elasticsearch,logstash,kibana,nssm,nxlog -
应急响应基础(三)——Windows日志分析
2019-11-23 20:57:59Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到... -
系统基础知识:筛选Windows日志与借助Windows日志分析故障
2021-07-29 00:12:25系统基础知识:筛选Windows日志与借助Windows日志分析故障 我们最关心的事情,一定是我们Windows 7系统的安全,我们学习Windows事件查看器的最终目的,也是希望通过WIndows事件查看器更加了解我们的系统,保证系统... -
windows系统日志分析
2021-07-29 00:12:21一、Windows日志文件的保护日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。1. 修改日志文件存放目录Windows日志文件默认路径是“%systemroot%system32config... -
Windows系统日志分析
2021-07-30 22:37:28Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种 系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security... -
windows日志分析工具–WebLog Expert
2019-09-18 08:45:47Weblogexpert是一个快速和强大的访问日志分析器。这会让你了解你的网站的访客:活动统计,访问的文件的路径,通过该网站,信息指页面,搜索引擎,浏览器,操作系统,和更多。该计划所产生的易于阅读的报告,包括文本... -
windows下搭建ELK日志分析平台
2018-11-12 10:49:07提供在windows系统下搭建ELK日志分析平台教程。资源来源于CSDN博客 -
Windows系统日志分析工具-- Log Parser
2022-01-12 15:21:43对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)... -
WINDOWS系统日志导出工具及使用方法
2018-10-20 10:34:33(转)日志对于操作系统来说其重要性时不言而喻的,一个优秀的nt网络的管理员,往往会定期的备份系统日志,以备查询服务器运行状况及系统安全状况。 如果利用系统日志的“另存为”功能手工备份,则比较麻烦,而且输出... -
Nginx日志分析工具2.1.0.zip
2021-06-11 09:22:38windows版Nginx日志分析工具2.1.0 -
windows日志审计
2022-05-17 16:05:12分析windows日志,查看rdp、ipc等各种登录验证情况时主要分析的内容之一,下面图标中的内容是windows 日志中登录类型以及事件ID的代表含义代表的含义。 登录类型中较为重要的是网络、网络明文、以及远程交互三种类型... -
Windows&&linux系统日志分析
2022-05-16 10:33:38包括“Windows事件日志、服务器角色日志、FTP日志(21)、邮件日志服务等” 打开方式 文件打开 在C:\Windows\System32\winevt\Logs目录下存在诸多日志文件,安全日志为Security.evtx Windows 2000 / Server2003 /... -
windows安全日志分析工具logparser用法详解
2021-07-29 00:13:33logparser使用介绍首先,让我们来看一下Logparser架构图,熟悉这张图,对于我们理解和使用Logparser是大有裨益的简而言之就是我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的... -
Python取证技术(3): Windows 事件日志分析
2021-02-04 14:25:23Windows的事件日志都存放在 C:WindowsSystem32winevtLogs目录下。以evtx后缀结尾。事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件... -
windows日志总结
2022-06-09 18:22:27运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。...Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的 -
利用powershell进行windows日志分析
2019-10-01 01:00:05Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet:一个是Get-WinEvent,超级强大,但使用起来比较麻烦;另一个是Get-EventLog,使得起来相当简单,可以实时筛选,接下来,我们利用PowerShell 来自动筛选 ... -
基于windows环境搭建elk日志分析平台
2017-05-21 14:38:34基于windows环境搭建elk日志分析平台 -
【日志分析】Window日志分析
2022-05-07 19:06:32Window日志分析 -
基于Windows日志的电子证据获取与分析方法研究
2021-01-15 08:19:10为解决Windows日志的实时获取问题,针对2种日志文件格式,分别提出了相应的日志实时获取方法。在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,... -
Windows系统安全登录日志分析工具logonTracer汉化修正版
2022-03-18 15:20:32Windows系统安全登录日志分析工具logonTracer汉化修正版 安装neo4j cd neo4j ./bin/neo4j start 下载logonTracer ##下载logontracer git clone https://github.com/TheKingOfDuck/logonTracer.git cd ... -
Python-LogonTracer通过可视化和分析Windows事件日志来调查恶意Windows登录
2019-08-10 07:06:24通过查看和分析Windows活动目录事件日志来调查恶意登录。LogonTracer使用PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。 -
日志分析篇---Window日志分析
2021-01-27 17:39:09日志分析篇—Window日志分析 文章目录日志分析篇---Window日志分析一、Window事件日志简介1.系统日志2.应用程序日志3.安全日志二、 审核策略与事件查看器三、0x03 事件日志分析四、日志分析工具**1.Log Parser**2.... -
【安全-安全检查】操作系统日志分析(Linux+Windows)
2019-11-06 10:32:021 Linux日志分析 日志是Linux 安全结构中的一个重要内容,是提供攻击发生的唯一真实证据。Linux 中日志包括以下几类:登录时间日志子系统、进程统计日志子系统、错误日志子系统等。 登录时间日志子系统: 登录时间... -
Windows日志
2019-05-29 16:29:26文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...