Windows系统日志记录系统中硬件、软件和系统问题的信息，同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因，或者寻找收到攻击时攻击者留下的痕迹（但日志也有可能被攻击者删除或伪造）

Windows日志分类：
应用程序日志、系统日志、安全日志

系统日志

记录着操作系统组件发生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

系统和应用程序日志储存着系统故障信息，如，蓝屏、重启等故障信息，对系统管理员和运维人员有用
安全人员主要查看的是安全日志，其中包括 事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么

设置系统日志

Windows Server 2008 R2默认未开启系统审核功能
开启方法

##WIN+R输入运行
secpol.msc

安全设置——本地策略——审核策略——设置如下配置

设置日志属性

##WIN+R运行
eventvwr.msc

安全日志大小为2M，按需要覆盖事件

安全事件说明

##用户事件管理
4720————新建用户————net user test /add
4722————启用新账户
4724————更改账户密码
4725————禁用用户账户————net user test /active:no
4726————删除用户————net user test /delete
4731————创建一个新组
4732————将用户添加到本地组————net localgroup 组名 test /add
4733————从组中删除用户
4734————删除启用的组————net localgroup 组名 /delete
4735————安全组更改
4738————更改用户账户
4798————枚举本地用户组
4727————启用安全性的组
4728————向安全的全局组中添加新成员
4729————从组中删除用户
4737————任何更改安全组的操作
4741————创建一个新的计算机账户
4742————任何更改计算机账户
4754————删除计算机账户
4755————在安全组中做任何修改时
4756————将用户添加到安全性的通用组
4799————枚举组中成员时




##用户登录事件
4624————登录成功
4625————登录失败
4634——从系统注销用户
4647——用户启动的注销，当用户远程登陆，并注销时，会发生此事件
4648——使用其他用户凭证登录或绕过登录凭证打开管理员权限进程时发生
4672——使用被分配管理员权限的账户进行登录

登录成功时（4624），登录类型说明
5表示 每种服务都被配置在某个特定的用户账号下运行。

安全日志分析举例

通过筛选某一具体事件ID来分辨，服务器收到了什么样的攻击

• 如，筛选4625事件，发现事件数共有一万多条，且这些登录失败事件相对集中在某一段时间内，说明服务器账号可能收到了暴力破解

• 又如，我们筛选4647，发现了一条4647事件，说明服务器可能已经被远程登录提权，且攻击者临走时注销了提权账号

• 再如，我们再日志中发现了一条4724事件，表示某个账户的密码被修改了，我们询问管理员得知没有人修改账户密码，那此事件发生的原因可能是攻击者修改了某一不常用账号企图获得权限维持

日志分析工具

Log Parser

https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser的图形化界面工具：
LogParser Lizard

http://www.lizard-labs.com/log_parser_lizard.aspx

安装依赖
Microsoft .NET Framework 4 .5，下载地址：

https://www.microsoft.com/en-us/download/details.aspx?id=42642

Event Log Explorer
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看，监视和分析跟事件记录，包括安全，系统，应用程序和其他微软Windows 的记录被记载的事件，其强大的过滤功能可以快速的过滤出有价值的信息

https://event-log-explorer.en.softonic.com/

Windows 主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx
包含由应用程序或系统程序记录的事件，主要记录程序运行程序方面的事件。

安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

1.手工日志分析

1.日志文件位置
控制面板→ 管理工具 → 事件查看器
或者win + R:eventvwr.msc

2.EVENT ID含义
对于Windows事件日志分析，不同的EVENT ID代表了不同的意义，常见如下

4624 登录成功
4625 登录失败
4634 注销成功
4647 用户启动的注销
4672 使用超级用户登录（管理员）进行登录
4720 创建用户
4776 成功/失败的账户认证

https://blog.csdn.net/weixin_33695450/article/details/92324221
https://www.csdn.net/tags/NtDaYg0sMjM4OS1ibG9n.html

3.eventlog事件快速筛选



成功完成筛选

筛选系统日志

6006，6005，6009就表示不同状态的机器的情况
6005 信息 EventLog 事件日志服务已启动
6006 信息 EventLog 事件日志服务已停止
6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机

查看下6009


当然也可以一直查看6005-6009

2.Log Parser等工具使用日志分析

Log Parser下载
使用教程：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

LogParser是微软公司提供的一款日志分析工具，可以对基于文本格式的日志文件、XML文件和CSV文件，以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析，分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示。

1.Log Parser的使用
安装的目录再C:\Program Files (x86)\Log Parser 2.2

LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”

我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后，可以输出我们想要的格式。
输入源是某一种固定的格式，比如EVT(事件)，Registry(注册表)等，对于每一种输入源，它所涵盖的字段值是固定的，可以使用logparser –h –i:EVT查出(这里以EVT为例）

登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624”

待定…

2.Event Log Explorer
下载地址：https://event-log-explorer.en.softonic.com/
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看，监视和分析跟事件记录，包括安全，系统，应用程序和其他微软Windows 的记录被记载的事件，其强大的过滤功能可以快速的过滤出有价值的信息。

参考：https://blog.csdn.net/lza20001103/article/details/124637558?spm=1001.2014.3001.5502

使用方式

开始-程序-管理工具-计算机管理-系统工具-事件查看器。
然后开始清理日志。

各项日志说明

Windows 2000 的日志文件通常包括以下日志,当然以下不完全：

1. 应用程序日志
2. 安全日志
3. 系统日志
4. DNS服务器日志
5. FTP日志
6. WWW日志

日志文件的默认位置

应用程序日志、安全日志、系统日志、DNS日志默认位置： %systemroot%system32config,默认文件大小为512KB，管理员一般都会改变这个默认大小。

安全日志文件:%systemroot%system32configSecEvent.EVT

系统日志文件:%systemroot%system32configSysEvent.EVT

应用程序日志文件:%systemroot%system32configAppEvent.EVT

Internet信息服务FTP日志文件:%systemroot%system32logfilesmsftpsvc1，默认每天一个日志

Internet信息服务WWW日志文件:%systemroot%system32logfilesw3svc1，默认每天一个日志

Scheduler服务日志:%systemroot%schedlgu.txt

以上日志在注册表中的键

应用程序日志、安全日志、系统日志、DNS服务器日志，他们这些LOG在注册表中的:

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多子表，里面可以查到以上日志的定位目录。

Schedluler服务日志在注册表中的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

FTP与WWW日志详解

FTP日志

FTP与WWW日志默认情况，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex(年份)(月份)(日期)，例如ex001023，就是2000年10月23日产生的日志，用记事本就可以打开，假设如下所示。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus

0315 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)

0318 127.0.0.1 [1]PASS -530 (登录失败)

032:04 127.0.0.1 [1]USER nt 331 (ip地址为127.0.0.1用户名为 nt 的用户试图登录)

032:06 127.0.0.1 [1]PASS -530 (登录失败)

032:09 127.0.0.1 [1]USER cyz 331 (ip地址为127.0.0.1用户名为 cyz 的用户试图登录)

0322 127.0.0.1 [1]PASS -530 (登录失败)

0322 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)

0324 127.0.0.1 [1]PASS -230 (登录成功)

0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)

0325 127.0.0.1 [1]QUIT -550 (推出FTP)

从日志可以看到IP地址为127.0.0.1的用户一直在试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知攻击者的入侵时间，IP地址以及探测的用户名，如上例入侵者最终是使用administrator登录的，那么就要考虑更换此用户的密码，或更改用户名。

WWW日志

WWW服务同FTP服务一样，产生的日志也是在%systemroot%system32LogFilesW3SVC1目录下，默认是每天一个日志文件，下面例举一个典型的WWW日志文件。

1
2
3
4
5
6
7
8

#Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
#Version: 1.0 (版本1.0)
#Date: 20001023 0315 (服务启动时间日期)
#Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent)

20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)

20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)

第一条记录是，2000年10月23日，IP地址为192.168.1.26的客户通过访问192.168.1.37服务器的80端口，查看了一个iisstart.asp的页面，这个用户的浏览器为Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)，有经验的管理员可以通过安全日志、FTP日志和WWW日志来确定攻击者的IP。

即使删除了FTP日志和WWW日志，但是还是会在系统日志和安全日志中记录下来，较好的是只显示了你的机器名，并没有IP地址。

属性里记录了出现警告的原因，是因为有人试图用administrator用户名登录，出现了一个错误，来源是FTP服务。

这里有两种图标：钥匙（表示成功）和锁（表示当用户在做什么时被系统停止）。接连四个锁图标，表示四次失败审核，事件类型是帐户登录和登录注销失败。

双击第一个失败审核事件，可以获得这个事件的详细描述。

经过分析我们可以得知有一个名为CYZ的工作站，用administrator的用户名登录本机，但是因为用户名未知或密码错误（实际上是密码错误）未能成功。另外还有DNS服务器日志，这里暂略。

日志清理

通过上面，得知日志文件通常有某项服务在后台保护，除了系统日志、安全日志、应用程序日志等等，它们的服务是Windos2000的关键进程，而且与注册表文件在一块，当Windows2000启动后，启动服务来保护这些文件，所以很难删除，而FTP日志、WWW日志和Scedlgu日志都可以轻易删除。

首先要获取Administrator密码或Administrator用户组成员之一，然后Telnet远程连接

1
2
3

del schedlgu.txt
# 如果无法删除，先停止正在 使用此文件的进程
net stop  "task scheduler"

分别进入FTP和WWW的目录

1

del ex*.log

停止系统日志的守护进程

1

net stop eventlog

其他常见工具

clearlog.exe

这里我们介绍一个工具 clearlog.exe
使用方法:
Usage: clearlogs [\computername] <-app / -sec / -sys>
-app = 应用程序日志
-sec = 安全日志
-sys = 系统日志
a. 可以清除远程计算机的日志
先用ipc连接上去: net use \ipipc$ 密码/user:用户名 然后开始清除: 方法
clearlogs \ip -app 这个是清除远程计算机的应用程序日志
clearlogs \ip -sec 这个是清除远程计算机的安全日志
clearlogs \ip -sys 这个是清除远程计算机的系统日志
b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
然后清除. 方法:
　
clearlogs -app 这个是清除远程计算机的应用程序日志
clearlogs -sec 这个是清除远程计算机的安全日志
clearlogs -sys 这个是清除远程计算机的系统日志

c.bat

1
2
3
4
5
6
7
8
9

rem ============================== 开始
@echo off
clearlogs -app
clearlogs -sec
clearlogs -sys
del clearlogs.exe
del c.bat
exit
rem ============================== 结束

在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果
第一行表示: 运行时不显示窗口
第二行表示: 清除应用程序日志
第三行表示: 清除安全日志
第四行表示: 清除系统日志
第五行表示: 删除 clearlogs.exe 这个工具
第六行表示: 删除 c.bat 这个批处理文件
第七行表示: 退出

用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法
AT 时间 c:c.bat

cleaniis.exe

工具:cleaniis.exe

使用方法:

1
2
3

iisantidote <logfile dir> <ip or string to hide>
iisantidote <logfile dir><ip or string to hide> stop
stop opiton will stop iis before clearing the files and restart it after

< logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
使用方法解释:
cleaniis.exe iis日志存放的路径 清除参数
什么意思呢？？我来给大家举个例子吧：
cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. —–推荐使用这种方法
cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
这个表示清除这个目录里面的所以的日志
c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变
这个测试表示 在日志里面没有这个ip地址.
我们看一下日志的路径 再来看一下
我们的ip(192.168.0.1)已经没有了.
已经全部清空. 同样这个也可以建立批处理. 方法同上面的那个

清除历史记录及运行的日志

cleaner.exe
直接运行就可以了

参考资料

[1] 日志分析-1
[2] 日志分析-2
[3] 日志分析-3 对抗