为您推荐:
精华内容
最热下载
问答
  • 5星
    520.23MB qq_17695025 2021-06-22 22:46:49
  • 5星
    3.98MB m0_52957036 2020-11-30 21:29:11
  • 5星
    186.19MB leekwen 2020-11-24 09:37:41
  • 5星
    29.09MB qq_17556735 2021-04-28 21:44:45
  • 5星
    34.47MB tangyang8941 2021-02-14 11:27:35
  • 5星
    69.48MB qq_17556735 2021-03-13 22:42:11
  • 5星
    78.57MB u013729183 2021-03-13 19:53:28
  • 声明:本文档由12306Bro个人业余时间翻译,个人行为与公司无任何关系!译文来源INSIDER THREAT SECURITY BLOG博客站相关...随着恶意活动的增加,攻击者用来破坏凭据和数据的方法也各种各样,监控Active Directory(...

    声明:本文档由12306Bro个人业余时间翻译,个人行为与公司无任何关系!译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议,请将原文文档做为主要参考,原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途,仅供交流与学习。

    前言

    随着恶意活动的增加,攻击者用来破坏凭据和数据的方法也各种各样,监控Active Directory(AD)等关键系统变得越来越重要。大多数客户转向使用安全信息和事件管理(SIEM)产品来进行监控。虽然这些解决方案可能非常强大,但它们最终依赖于Active Directory中的Windows事件日志。windows事件日志非常复杂,可能无法提供监视AD中的几个关键攻击向量所需的信息。依靠windows事件日志,我们面临着一些影响我们威胁狩猎的挑战,在本文中,我们将探讨其中的五个挑战。

    挑战1——组成员变更

    Active Directory安全组是用户被授予跨服务器,工作站和应用程序进行特权操作和信息访问权的主要方式。域管理员、企业管理员和架构管理员等用户组在AD环境中为相关组用户提供了较大的权限。除了这些组之外,典型的组织(或企业)还将拥有大量的其他安全组,这些组可以为跨域环境的访问提供特权。

    攻击者可以针对这些群组及其组内用户进行攻击以便获得更高的权限。因此,监控这些组的变化是非常重要的。虽然AD事件日志会跟踪安全组的变更,但是缺少关键信息。

    事件ID 5136

    例如,如果您将用户添加到Domain Admins组,AD将会生成一个事件ID,如上图所示。此事件包含的有价值信息,例如:

    • 执行更改的用户ID;
    • 已更改的对象的DN和类(在本例中为指示的Domain Admins组);
    • 添加/删除用户的更改详细信息;

    虽然这看起来是用户权限变更的一整套细节信息,但是缺少一些关键信息。

    改变从何而来?

    windows事件日志从不记录更改的来源(即进行更改操作的服务器地址)。从跳转服务器或域控制器对Domain Admins组的更改,在组内可能是正常的。来自非管理终端或者面向互联网的服务器(即外网web服务器)的更改行为是异常的,可能是网内遭受到攻击的明显标志。了解更改的来源是至关重要的,有助于帮助分析人员快速排除正常行为(排除误报),快速定位网内威胁源。

    有效的组成员变更

    Active Directory仅记录组内的直接成员的身份变更。但是,你需要知道:在windows系统中同一个组可以包含用户、计算机和其他嵌套组。组可以包含其他组作为成员,因此想要成功的对任何组的变更进行监控,您必须要监视组本身以及嵌套在组中的每个组。这种关系经常会发生改变,所以无形之中增加了威胁狩猎的复杂性。Active Directory不支持监视组的“有效成员资格”(即嵌套组)的更改,因此很难真正的对组内的成员身份更改进行监视。

    事件日志不一致

    根据Active Directory中组的更改方式,生成的事件看起来会有所不同。这可能会导致SIEM产品中的混淆和错误信息。例如:使用Active Directory服务接口(ADSI)将用户添加组内和使用LDAP将用户添加组内,两种添加用户的方式导致产生的日志类型的不一致,这种不一致性使得在信息收集及处理时非常困难。

    总结

    在Active Directory(AD)环境中对具有较大权限的组进行更改是许多黑客的进行权限提升和建立立足点的重要目标。但是,这类攻击会导致安全分析人员无法进行正常有效的分析。

    挑战2——组策略的变更

    组策略用于控制和管理加入Active Directory的所有计算机的设置。这包括关键安全设置,例如谁具有对系统的管理访问权限以及许多其他设置。对组策略对象的简单更改可能会产生严重的安全影响或导致生产中断。

    监控这些变化是至关重要的。但是,Active Directory无法记录对组策略设置所做的更改。更改组策略后,您将看到一个事件,如下图中显示的事件。

    5136事件ID

    此事件提供了一些有意义的信息,例如谁进行了更改以及组策略对象的标识符。但是,这些事件内容缺乏有价值的信息。

    设置细节

    组策略支持数百种开箱即用和自定义设置。设置的范围可以从设置用户的浏览器主页到提供整个组织计算机的关键管理控制。这些事件不会记录已更改的设置及更改的设置,所产生的事件对GPO的变更调查提供的价值很小。因此,有必要实施其他监控来跟踪GPO更改。

    变化的来源

    与组成员更改相似,此类事件不显示更改的来源。分析人员可以根据组策略更改的来源信息结合上下文的事件信息进而分析出攻击者更改的意图。大多数的更改来自少数几个位置,能够识别和响应来自关键位置的变化对于快速检测网内的攻击行为是非常重要的。

    总结

    在Active Directory中无法记录对组策略设置所做的更改,这可能会导致安全分析人员无法对分析攻击过程进行有效的分析,导致分析中断。

    挑战3——监控目录读取

    检测Active Directory攻击的另一个方面是了解用户如何查看和枚举AD对象。当攻击者在您的组织(即AD环境)中获得立足点时,在最初的阶段,攻击者会进行内部侦察,枚举关键帐户,组和服务器。这些信息是攻击者进行权限提升所必需的信息。通过监控可疑的读取事件,您可以检测到侦察活动,并在攻击完成之前阻断攻击。遗憾的是,Active Directory没有提供监控这些类型事件的简便方法。

    干扰数据太多

    Microsoft能够记录读取事件,方便分析人员查看谁正在探索Active Directory,但是这样做会在事件日志中产生海量的噪音数据,几乎不可能找到任何有价值的信息。例如,如果用户要查看Domain Admins组,则可以在事件日志中生成200多个事件。这包括如上图所示的事件,表示已读取域管理员的属性。除了列出OU的内容和阅读有关组成员的信息等其他事件之外,无论用户在看什么,都将生成数十个这样的事件。

    事件ID4662

    对于用户查看组的单个实例出现数百个事件,将有意义的信息与无关信息分开变得极具挑战性。

    读取来自哪里?

    即使可能以某种方式读取理解域对象生成的事件,但也无法识别读取事件日志源自何处。在上图中,您可以清楚地看到哪个用户参与了域管理员的阅读,但您不知道这个阅读来自哪台计算机。如果您希望确定网内是否存在恶意侦察的读取行为,这是你判断网内存在恶意侦察行为的至关重要信息。

    监视访问被拒绝的事件

    监视目录访问事件的一个常见原因是确定用户尝试读取他们无权查看的信息的位置。有价值的信息可以存储在Active Directory属性中,这些属性可以被攻击者查询并最终被攻击者利用。例如,通过利用本地管理员密码解决方案(LAPS),Active Directory将为用户属性中的管理帐户存储明文密码。如果日志显示用户试图读取这些属性,则可能表示用户试图破坏这些特权凭证。不幸的是,为任何目的查看用户对象的每个用户都将为他们无权读取行为而生成访问失败事件日志,即使他们不打算阅读这些属性。因此,使用事件日志监视失败的访问事件作为攻击的标志不是可行的选择。

    监控LDAP查询

    LDAP查询通常用于探索Active Directory以发现用户,组和计算机。Microsoft没有提供监视LDAP查询的简单方法,以查看已发布的查询及其来源。即使打开诊断级别的LDAP监控也没什么价值,微软也不建议这样做,因为它会在日志中产生海量的噪音数据。

    总结

    在Active Directory中的限制是它没有提供监控可疑读取事件的简便方法,这可以帮助您检测侦察活动并在攻击发生之前阻止攻击。

    挑战4——跟踪认证事件

    随着基于凭证的攻击激增,监控身份验证模式对于识别受感染的帐户,传递哈希传递传递门票攻击的行为,以及伪造的Kerberos票证行为是至关重要的。Active Directory捕获事件用以监视域控制器,成员服务器和工作站上的用户登录和身份验证活动。下图中出了可能需要收集的一些事件,以监控域中的用户身份验证和登录流量。

    虽然记录了一些有用的信息以帮助监控基于身份验证的攻击,但产生的事件数量可能非常大,并且无法进行任何有意义的分析。此外,身份验证日志存在一些缺点,使这一挑战难度更高。

    活动ID描述登录到
    4768请求了Kerberos身份验证票证(TGT)域控制器
    4769请求了Kerberos服务票证域控制器
    4773Kerberos服务票证请求失败域控制器
    4776域控制器尝试验证帐户的凭据域控制器
    4771Kerberos预身份验证失败域控制器
    4624帐户已成功登录服务器/工作站
    4625帐户无法登录服务器/工作站
    4634帐户已注销服务器/工作站

    干扰数据太多

    许多身份验证和登录事件都是由用户启动的,但也只是干扰数据。一个常见的例子是组策略的应用。当用户登录到加入Active Directory域的成员服务器时,服务器将启动与域控制器的连接以检索组策略信息。这会导致登录/注销事件出现在域控制器的事件日志中。此过程以诸如每90分钟的间隔重复,因此在用户登录到服务器时将继续创建这些事件。这导致每个用户登录到任何计算机都会创建大量登陆事件日志,如果不忽略域控制器的其他有价值的登录活动事件日志,则无法禁用这些日志记录。

    丢失的信息

    虽然可能存在过多的事件记录以跟踪身份验证和登录活动,但这些日志缺少限制其有用性的某些关键信息。例如,在域控制器上,您无法跟踪登录事件的登录类型。这意味着无法区分通过远程桌面登录的用户,而不是通过映射的网络驱动器进行网络登录。在确定是否以适当的方式使用帐户时,这在结合上下文进行确认分析时是非常有用。收集此信息的唯一方法是从每个成员服务器收集日志,并尝试将这些日志与域控制器中的日志进行关联分析。

    身份验证日志中也缺少其他特定协议的信息。例如,Kerberos身份验证事件不包含有关Kerberos票证的有价值信息,如票证生命周期和续订生命周期时间戳。这些是伪造门票的有价值的指标,没有它们,就无法检测利用这些功能的攻击,例如Golden Ticket exploit 。NTLM日志不指定所使用的NTLM版本,这在尝试确定在禁用它们以支持更安全的协议之前使用不同NTLM版本的普遍程度时非常有用。

    总结

    监控身份验证模式和基于身份验证的攻击将会产生海量的数据阻止安全人员进行任何有意义的分析。

    挑战5——权限更改和对象更改

    在Active Directory中您需要监视的一些最重要的更改,如权限和对象的安全更改。权限控制谁可以通过更改组策略,攻击者可以利用向管理组添加成员等众多方式来提升权限。

    受权限影响很大,有必要知道权限何时发生变化并了解这些更改的产生的影响。虽然Active Directory会记录进行权限更改事件,但这些事件中的信息非常难以理解。在windows中有关权限更改的详细信息使用安全描述符定义语言(SDDL)表示。

    5156 SDDL

    此类信息看起来比较神秘难易直观理解,你需要翻译此类信息转化为可用信息,但此信息不会识别许可更改的内容。想要了解系统发生了什么更改,你需要查看事件日志中的两个事件ID。原始权限将在第一个事件中表示,表示删除了原始权限。此事件的上下文第二个事件显示了新的权限。要了解两者之间的差异,您必须比较两者以查看更改内容。

    这适用于权限更改,同样也适用于对象保护。对象保护是Active Directory的一项功能,可帮助防止意外删除用户,组和OU等对象。关闭此选项后,删除对象非常容易,因此在大多数关键对象上都启用了此功能。关闭此功能绝对值得监控,但是,此更改由类似于图4的事件表示,您可以在其中看到SDDL中表示的详细信息。

    使用这种神秘的语言表示权限更改和对象保护更改使得很难理解Active Directory的安全性如何变化以及更改是否值得警告。

    最后

    Active Directory重要性不言而喻,这就是为什么它是如此受欢迎攻击目标。通过这个此文章,我们探讨了监视Active Directory可能很困难的各种原因。我们讨论的挑战包括:

    • 组成员身份更改
    • 组策略更改
    • 监视目录读取
    • 跟踪认证事件
    • 权限更改和对象更改

    由于攻击者不断发展,关键系统监控必须以更快的速度改进。很明显,事件日志存在一些限制,使客户越来越难以保护其系统免受这些攻击。

    附录

    原文地址

    博客原文:https://www.96007.club/2019/09/19/five-challenges-with-monitoring-active-directory-security-using-event-logs/

    参考链接

    设备对象的SDDL:https://docs.microsoft.com/en-us/windows-hardware/drivers/kernel/sddl-for-device-objects

    事件ID 4662说明:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4662

    事件ID 5136说明:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5136

    Windows 7和Windows Server 2008 R2 安全事件的说明:https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

    展开全文
    qq_36334464 2019-09-25 15:57:15
  • 事件日志监控、分析、报表和归档软件 监控和报表网络范围内的Windows服务器、系统和网络设备;以及合规问题、性能精度是一个重大责任。在如此重压的环境下,您需要的将是一款前瞻性的事件日志监控解决方案。它能应付...


    事件日志监控、分析、报表和归档软件
    监控和报表网络范围内的Windows服务器、系统和网络设备;以及合规问题、性能精度是一个重大责任。在如此重压的环境下,您需要的将是一款前瞻性的事件日志监控解决方案。它能应付快速发展的IT世界,并提供高科技的、技术完备的Windows日志管理解决方案。此外,还需要一种与所有事件日志版本兼容的工具:  
    · Windows 2003服务器事件日志
    · Windows 2008活动日志
    · Windows NT日志
    · Windows 2000事件
    · Windows XP性能日志
    · Windows Vista事件日志
    · Windows 7事件日志
    在这一云计算时代,网络犯罪技术也在与时俱进,IT安全漏洞和网络犯罪层出不穷,因此需要一种前所未有的极为先进Windows日志监控解决方案来应付安全问题。 您在Windows日志监控解决方案中寻求的功能如下:
    · 获取有关Windows事件的全面信息
    · 持续监控Windows活动
    · 自动企业事件日志数据
    · 帮助强化安全策略
    · 在减少停机时间的同时提高IT效率
    · 满足合规审核要求
    EventLog Analyzer提供事件日志监控解决方案,即使在不断演进的IT环境中也能确保安全的业务连续性。如已部署EventLog Analyzer,则将提供以下好处:
    · 通过保留所有所需事件日志信息以备审核,遵守法规并恪守公司 政策
    · 在中央位置统计几个事件日志,从而提供便利和安全备份  
    · 即使不在现场也能保持监控!使用已配置且可自定义的动态报警功能,可在出现任何可疑的恶意活动迹象时发出告警
    · 自动归档Windows事件并显示那些优先的Windows事件,以备安全管理人员的查验
    · 分析Windows事件日志以正确分类事件,从而系统地企业以更好地生成视图和报表
    · 通过自定义工具来查看特定于您相关性的事件日志,从而缩小搜索范围
    · 持续监控而不需要任何人工干预和监管
    · 高扩展性,可整合海量Windows事件  
    该解决方案设计用来执行一系列的功能。EventLog Analyzer事件日志监控系统的职责如下: 
    · 收集事件日志
    · 规范化Windows事件
    · 聚合事件日志
    · 归档事件日志
    · 分析事件日志
    · 生成预构建报表,
    · 生成监管合规报表
    · 生成历史趋势报表
    · 对特定Windows日志事件生成告警
    · 协助应对各种监管法案(例如,HIPAA合规性,GLBA合规性,PCI-DSS合规性和Sarbanes-Oxley(SOX or SARBOX)的合规审核
    · 减少系统停机时间
    · 提升网络性能
    · 强化安全策略
    ManageEngine Suite邀请您获取EventLog Analyzer免费试用版,试用并测试该产品的价值。您将要了解各种功能并并确定EventLog Analyzer为什么是一种有用的事件日志监控解决方案。
    EventLog Analyzer识别的一些Windows事件ID和Windows Vista事件ID如下所示:

    EventLog Analyzer还支持从其他syslog支持的系统和设备中收到的日志。
    使用EventLog Analyzer,您可以归档或存储这些事件日志,还可以实时生成事件日志报表。您获得对在设备、用户、流程和设备组间生成的事件的一系列报表的即时访问权。您还可以获得预定义的合规报表以满足HIPAA、GLBA、PCI和Sarbanes-Oxley审核要求。
    其它功能
    Syslog管理
    收集和分析来自路由器、交换机、防火墙、IDS/IPS、Linux/Unix服务器及更多来源的Syslog数据。获取每个安全事件的深度报表。接收异常现象和数据泄露的实时告警。
    应用程序日志分析
    分析来自IIS和Apache网络服务器、Oracle和MS SQL数据库、DHCP Windows和Linux应用程序及更多来源的应用程序日志。用报表和实时告警来缓解应用程序安全攻击现象。
    Active Directory日志监控
    监控来自Active Directory基础设施的所有类型的日志数据。实时跟踪故障事故并构建自定义报表来监控您感兴趣的特定Active Directory事件。
    IIS日志监控
    在中央位置监控和审核IIS网络服务器日志。通过用即时电子邮件/短信告警来检测异常的事件,保护IIS服务器的安全。获取有关服务器错误和攻击的预定义报表。
    特权用户监控
    监控和跟踪特权用户活动以满足PUMA要求。获取有关严重活动(例如,登录失败、登录失败原因等)的开箱立取报表。
    IT合规管理
    通过预定义的报表和告警,符合监管条例(即,PCI DSS、FISMA、HIPAA及更多)的严格要求。自定义现有报表或构建新报表来满足内部安全需求。
     
    事件关联
    Syslog管理
     


     

    展开全文
    weixin_42434696 2018-08-02 15:15:42
  • windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,...

    windows事件监控指南

    推荐收集的活动日志

    账户使用情况

    收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员是发现恶意活动的有力证明。

    域帐户的锁定事件在域控制器上生成,而本地帐户的锁定事件在本地计算机上生成。

    IDLevelEvent LogEvent Source
    账户锁定4740Informationwindows 安全日志windows 安全审核
    使用显式凭据登录帐户4648Informationwindows 安全日志windows 安全审核
    帐户名称已更改4781Informationwindows 安全日志windows 安全审核
    将成员从启用安全的本地组中移除4733Informationwindows 安全日志windows 安全审核
    创建档案失败1518Errorwindows 应用日志Windows用户配置文件服务
    凭证身份验证4776Informationwindows 安全日志windows 安全审核
    证书备份5376Informationwindows 安全日志windows 安全审核
    证书已恢复5377Informationwindows 安全日志windows 安全审核
    用户帐户登录失败4625Informationwindows 安全日志windows 安全审核
    组分配给新会话300InformationMicrosoft-Windows-LSA/OperationalLsaSrv
    注销事件4634Informationwindows 安全日志windows 安全审核
    给新登录分配特权4672Informationwindows 安全日志windows 安全审核
    创建了用户帐户4720Informationwindows 安全日志windows 安全审核
    已启用用户账户4722Informationwindows 安全日志windows 安全审核
    密码hash帐户被访问4782Informationwindows 安全日志windows 安全审核
    已调用密码策略检查API4793InformationWindows 安全日志windows 安全审核
    已创建启用安全的本地组4731Informationwindows 安全日志windows 安全审核
    安全本地组已经更改4735Informationwindows 安全日志windows 安全审核
    尝试向一个帐户的 SID 历史记录失败4766Informationwindows 安全日志windows 安全审核
    SID历史记录被添加到一个帐户4765Informationwindows 安全日志windows 安全审核
    用户账户成功登陆4624Informationwindows 安全日志windows 安全审核
    临时配置文件登录1511Errorwindows 应用日志Windows用户配置文件服务
    用户帐户被删除4726Informationwindows 安全日志windows 安全审核
    用户帐户已禁用4725Informationwindows 安全日志windows 安全审核
    用户帐户已解锁4767Informationwindows 安全日志windows 安全审核
    用户已添加到特权组4728, 4732, 4756Informationwindows 安全日志windows 安全审核
    用户权限已分配4704Informationwindows 安全日志windows 安全审核

    应用程序崩溃

    应用程序崩溃可能需要调查以确定崩溃是恶意还是良性。 崩溃的类别包括蓝屏死机(BSOD),Windows错误报告(WER),应用程序崩溃和应用程序挂起事件。 如果你的组织正在积极使用Microsoft增强型缓解体验工具包(EMET),则还可以收集EMET日志。

    IDLevelEvent LogEvent Source
    App Crash1000Error应用程序日志Application Error
    App Error1000Error应用程序日志Application Error
    App Hang1002Error应用程序日志Application Hang
    BSOD1001Error系统日志Microsoft-Windows-WER-SystemErrorReporting
    WER1001Information应用程序日志Windows Error Reporting

    应用程序白名单

    应收集应用程序白名单事件以查找已被阻止执行的应用程序。 任何被阻止的应用程序都可能是恶意软件或试图运行未经批准的软件/用户。 Windows XP及更高版本支持软件限制策略(SRP)。 AppLocker功能仅适用于Windows 7及更高版本的Enterprise和Ultimate版本。 如果在网络上主动使用SRP或AppLocker,则可以收集应用程序白名单事件。

    IDLevelEvent LogEvent Source
    已安装应用程序8023InformationMicrosoft-Windows-AppLocker/Packaged app-DeploymentMicrosoft-Windows-AppLocker
    应用程序运行8020InformationMicrosoft-Windows-AppLocker/Packaged app-ExecutionMicrosoft-Windows-AppLocker
    AppLocker Block8002InformationMicrosoft-Windows-AppLocker/EXE and DLLMicrosoft-Windows-AppLocker
    AppLocker Block8003ErrorMicrosoft-Windows-AppLocker/EXE and DLLMicrosoft-Windows-AppLocker
    AppLocker Block8004WarningMicrosoft-Windows-AppLocker/EXE and DLLMicrosoft-Windows-AppLocker
    AppLocker Warning8006ErrorMicrosoft-Windows-AppLocker/MSI and ScriptMicrosoft-Windows-AppLocker
    AppLocker Warning8007WarningMicrosoft-Windows-AppLocker/MSI and ScriptMicrosoft-Windows-AppLocker
    进程创建4688Informationwindows 安全日志Microsoft-Windows-Security-Auditing
    进程结束4689Informationwindows 安全日志Microsoft-Windows-Security-Auditing
    脚本或安装程序运行8005InformationMicrosoft-Windows-AppLocker/MSI and ScriptMicrosoft-Windows-AppLocker
    SRP Block865, 866, 867, 868, 882Warningwindows 应用日志Microsoft-Windows-SoftwareRestrictionPolicies

    引导事件

    IDLevelEvent LogEvent Source
    关机启动失败1074WarningUser32User32
    windows 关机13InformationSystemMicrosoft-Windows-Kernel-General
    Windows 开机12InformationSystemMicrosoft-Windows-Kernel-General

    证书服务

    证书服务通过RPC或HTTP接收数字证书请求。 对于不依赖外部证书颁发机构的组织,可以自定义策略和设置以支持组织的要求。 可以收集以下事件以确保预期使用。 有关其他信息,请参阅TechNet文章,题为证书服务生命周期通知和Microsoft 安全博客文章标题为保护公钥基础设施的新指南

    IDLevelEvent LogEvent Source
    ID级别事件日志事件SourceCA权限已损坏或丢失95Errorwindows 应用日志windows 证书颁发机构
    CA服务请求4886Informationwindows 安全日志windows 安全审核
    证书管理员设置已更改4890Informationwindows 安全日志windows 安全审核
    证书申请属性已更改4874Informationwindows 安全日志windows 安全审核
    证书申请延期已更改4873Informationwindows 安全日志windows 安全审核
    证书被撤销4870Informationwindows 安全日志windows 安全审核
    证书服务批准的请求4887Informationwindows 安全日志windows 安全审核
    证书服务审核筛选器已更改4885Informationwindows 安全日志windows 安全审核
    证书服务配置已更改4891Informationwindows 安全日志windows 安全审核
    证书服务拒绝请求4888Informationwindows 安全日志windows 安全审核
    证书服务加载模板4898Informationwindows 安全日志windows 安全审核
    证书服务权限已更改4882Informationwindows 安全日志windows 安全审核
    证书服务属性已更改4892Informationwindows 安全日志windows 安全审核
    证书服务已启动4880Informationwindows 安全日志windows 安全审核
    证书服务已停止4881Informationwindows 安全日志windows 安全审核
    证书服务模板安全已更新4900Informationwindows 安全日志windows 安全审核
    证书服务模板已更新4899Informationwindows 安全日志windows 安全审核
    从证书数据库中删除的条目4896Informationwindows 安全日志windows 安全审核
    进口证书1006Informationwindows证书服务客户端生命周期系统/操作Windows证书服务客户端生命周期系统
    删除证书1004Informationwindows证书服务客户端生命周期系统/操作Windows证书服务客户端生命周期系统
    出口证书1007Informationwindows证书服务客户端生命周期系统/操作Windows证书服务客户端生命周期系统
    证书即将到期1003Warningwindows证书服务客户端生命周期系统/操作Windows证书服务客户端生命周期系统
    替换证书1001Informationwindows证书服务客户端生命周期系统/操作Windows证书服务客户端生命周期系统
    过期证书1002Errorwindows证书服务客户端生命周期系统/操作Windows证书服务客户端生命周期系统

    清除事件日志

    在正常操作期间不太可能清除事件日志数据,但是恶意攻击者可能会通过清除事件日志来尝试覆盖其踪迹。 当事件日志被清除时,它是可疑的。 集中收集事件还有一个额外的好处,就是让攻击者更难以掩盖他们的踪迹。 事件转发允许源将收集的事件的多个副本转发给多个收集器,从而实现冗余事件收集。 使用冗余事件收集模型可以最大限度地降低单点故障风险。

    IDLevelEvent LogEvent Source
    事件日志服务关闭1100Informationwindows安全日志Microsoft-Windows-EventLog
    事件日志已清除104Informationwindows系统日志Microsoft-Windows-Eventlog
    事件日志已清除1102Informationwindows安全日志Microsoft-Windows-Eventlog

    DNS/目录服务

    恶意或滥用的软件通常可以尝试解析列入黑名单或可疑的域名。 建议收集DNS查询和响应,以便通过安全分析发现泄露或入侵痕迹。

    只有在启用增强审核的情况下才会记录下列多个事件ID。 请参阅使用Windows DNS分析日志记录的网络取证更多信息。

    IDLevelEvent LogEvent Source
    目录服务已创建5137Informationwindows 安全日志windows 安全审核
    目录服务已删除5141Informationwindows 安全日志windows 安全审核
    目录服务已修改5136Informationwindows 安全日志windows 安全审核
    目录服务已移动5139Informationwindows 安全日志windows 安全审核
    目录服务已恢复5138Informationwindows 安全日志windows 安全审核
    DNS查询完成3008Informationwindows DNS客户端/操作windows DNS客户端
    DNS请求/响应256, 257Informationwindows DNS服务器/分析windows DNS客户端
    DNS响应完成3020Informationwindows DNS客户端/操作windows DNS客户端

    外部设备(U盘)检测

    在某些环境中,例如物理环境内,检测USB设备(例如,大容量存储设备)的使用是很重要的。 本节试图采取主动的方式实时检测USB插入。 事件ID 43仅在某些情况下出现。 以下事件和事件日志仅适用于Windows 8及更高版本。

    Microsoft-Windows-USB-USBHUB3-Analytic本身不是事件日志; 它是一个跟踪会话日志,它将跟踪事件存储在事件跟踪日志(.etl)文件中。 由Microsoft-Windows-USB-USBHUB3发布者创建的事件将发送到直接通道(即分析日志),并且无法订阅以进行事件收集。 管理员应该寻求一种收集和分析此事件的替代方法(43)。

    IDLevelEvent LogEvent Source
    新设备信息43InformationMicrosoft-Windows-USB-USBHUB3-AnalyticMicrosoft-Windows-USB-USBHUB3
    新的存储安装400, 410InformationMicrosoft-Windows-Kernel-PnP/Device ConfigurationMicrosoft-Windows-Kernel-PnP

    组策略错误

    域计算机的管理允许管理员通过组策略提高对这些机器的安全性和监管。 由于组策略错误而无法应用策略会降低上述优点。 管理员应立即调查这些事件。

    IDLevelEvent LogEvent Source
    通用内部错误1126ErrorSystemMicrosoft-Windows-GroupPolicy
    由于连接,组策略应用程序失败1129ErrorSystemMicrosoft-Windows-GroupPolicy
    内部错误1125ErrorSystemMicrosoft-Windows-GroupPolicy

    内核驱动程序签名

    在64位版本的Windows Vista中引入内核驱动程序签名可以显着提高防止在内核中插入恶意驱动程序或活动的能力。 受保护驱动程序被更改的任何迹象都可能表示恶意活动或磁盘错误,并需要进行调查。

    IDLevelEvent LogEvent Source
    代码完整性检查3001, 3002, 3003, 3004, 3010, 3023Warning, ErrorWindows代码完整性/可操作性Windows代码完整性
    检测到文件的无效图像哈希5038Informationwindows 安全日志windows安全审核
    检测到图像文件的无效页面哈希6281Informationwindows 安全日志windows安全审核
    内核驱动程序加载失败219Warningwindows 系统日志Windows内核PnP

    Microsoft Cryptography API

    Microsoft CryptoAPI可用于证书验证和数据加密/解密。 对于可疑行为或将来的审计,可以记录下许多有趣的事件。

    IDLevelEvent LogEvent Source
    Cert Trust Chain Build Failed11InformationMicrosoft-Windows-CAPI2/OperationalMicrosoft-Windows-CAPI2
    Private Key Accessed70InformationMicrosoft-Windows-CAPI2/OperationalMicrosoft-Windows-CAPI2
    X.509 Object90InformationMicrosoft-Windows-CAPI2/OperationalMicrosoft-Windows-CAPI2

    移动设备活动

    无线设备无处不在,记录企业无线设备活动的需求可能至关重要。 无论用于通信的协议(例如,802.11或蓝牙)如何,无线设备在不同网络之间旅行时可能会受到危害。 因此,跟踪移动设备正在进入和退出的网络对于防止进一步的妥协是有用的。 以下事件的创建频率取决于设备断开连接并重新连接到无线网络的频率。 下面的每个事件都提供了大部分类似的信息,但在某些事件中添加了其他字段。

    IDLevelEvent LogEvent Source
    断开无线连接8003InformationMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    网络连接和断开状态(有线和无线)10000, 10001InformationMicrosoft-Windows-NetworkProfile/OperationalMicrosoft-Windows-NetworkProfile
    启动无线连接8000, 8011InformationMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    已成功连接到无线连接8001InformationMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    无线关联状态11000, 11001InformationMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    无线关联状态11002ErrorMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    无线认证启动和失败12011, 12012InformationMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    无线认证启动和失败12013ErrorMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    无线连接失败8002ErrorMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    无线安全性已启动,已停止,成功或失败11004, 11005InformationMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig
    无线安全性已启动,已停止,成功或失败11010, 11006ErrorMicrosoft-Windows-WLAN-AutoConfig/OperationalMicrosoft-Windows-WLAN-AutoConfig

    主机网络活动

    监视网络活动可以以多种方式执行,范围从直接检测流量的网络传感器到收集由执行网络活动的客户端或服务器生成的间接伪像。 Windows主机生成与网络活动有关的日志工件,以协助网络故障排除和检测由主机发生或针对主机发生的异常网络流量,例如横向移动,未经授权的网络策略更改,未经授权的网络连接以及网络资源的异常操纵(例如,意外的) 快速创建和删除文件共享)。 以下事件需要启用审核其他策略更改审核身份验证策略更改审核Kerberos服务票证操作审核网络策略服务器审核文件共享 审核认证服务审核策略更改,以及审核其他登录/注销事件组策略。

    IDLevelEvent LogEvent Source
    加密数据恢复策略已更改4714InformationSecurityMicrosoft-Windows-Security-Auditing
    Kerberos策略已更改4713InformationSecurityMicrosoft-Windows-Security-Auditing
    Kerberos服务票务要求失败4769InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器拒绝访问6273InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器丢弃的请求6275InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器丢弃请求6274InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器授予访问权限6272InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器授予完全访问权限6278InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器授予试用访问权限6277InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器锁定帐户6279InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器隔离用户6276InformationSecurityMicrosoft-Windows-Security-Auditing
    网络策略服务器已解锁帐户6280InformationSecurityMicrosoft-Windows-Security-Auditing
    访问网络共享5140InformationSecurityMicrosoft-Windows-Security-Auditing
    网络共享已检查5145InformationSecurityMicrosoft-Windows-Security-Auditing
    网络共享创建5142InformationSecurityMicrosoft-Windows-Security-Auditing
    网络共享删除5144InformationSecurityMicrosoft-Windows-Security-Auditing
    域名新信任4706InformationSecurityMicrosoft-Windows-Security-Auditing
    出站TS连接尝试1024InformationMicrosoft-Windows-TerminalServices-RDPClient/OperationalMicrosoft-Windows-TerminalServices-ClientActiveXCore
    RADIUS用户分配了IP20250SuccessRemoteAccessMicrosoft-Windows-MPRMSG
    RADIUS用户通过身份验证20274SuccessRemoteAccessMicrosoft-Windows-MPRMSG
    RADIUS用户已断开连接20275SuccessRemoteAccessMicrosoft-Windows-MPRMSG
    角色分离已启用4897InformationSecurityMicrosoft-Windows-Security-Auditing
    系统审核政策已更改4719InformationSecurityMicrosoft-Windows-Security-Auditing
    受信任的域信息已修改4716InformationSecurityMicrosoft-Windows-Security-Auditing
    TS会话断开连接4779InformationSecurityMicrosoft-Windows-Security-Auditing
    TS会话重新连接4778InformationSecurityMicrosoft-Windows-Security-Auditing
    无线802.1X身份验证5632InformationSecurityMicrosoft-Windows-Security-Auditing

    传递哈希检测

    跟踪用户帐户以检测传递哈希(PtH)需要使用XML创建自定义视图以配置更高级的筛选选项。事件查询语言基于XPath。下面推荐的QueryList 仅限于检测PtH攻击。这些查询侧重于发现攻击者使用不属于域的本地帐户进行横向移动。 **QueryList **捕获显示本地帐户尝试远程连接到不属于域的另一台计算机的事件。这个事件是非常罕见的,所以任何此类事件都应该被视为可疑。

    下面的这些XPath查询用于事件查看器的自定义视图

    成功使用PtH进行工作站之间的横向移动将从安全日志中触发事件ID 4624,其具有事件级别的信息。这种行为是使用NTLM身份验证的**LogonType ** 3,它不是域登录也不是ANONYMOUS LOGON帐户。要清楚地总结正在收集的事件,请参阅下面的事件4624。

    在下面的**QueryList **中,将部分替换为所需的域名。

    尝试使用PtH横向移动时失败的登录尝试将触发事件ID 4625.这将使用NTLM身份验证的**LogonType **为3,其中它不是域登录也不是ANONYMOUS LOGON帐户。要清楚地总结正在收集的事件,请参阅下面的事件4625。

    <QueryList>
      <Query Id="0" Path="Forwarded Events">
        <Select Path="ForwardedEvents">
          *[System[(Level=4 or Level=0) and (EventID=4624)]]
          and
          *[EventData[Data[@Name='LogonType'] and (Data='3')]]
          and
          *[EventData[Data[@Name='TargetUserName'] != 'ANONYMOUS LOGON']]
          and
          *[EventData[Data[@Name='TargetDomainName'] != '<DOMAIN NAME>']]
        </Select>
      </Query>
    </QueryList>
    <QueryList>
      <Query Id="0" Path="Forwarded Events">
        <Select Path="ForwardedEvents">
          *[System[(Level=4 or Level=0) and (EventID=4625)]]
          and
          *[EventData[Data[@Name='AuthenticationPackageName'] and (Data='3')]]
          and
          *[EventData[Data[@Name='TargetUserName'] != 'ANONYMOUS LOGON']]
          and
          *[EventData[Data[@Name='TargetDomainName'] != '<DOMAIN NAME>']]
        </Select>
      </Query>
    </QueryList>
    
    Event IDLogLevelLogonTypeAuthentication Pkg Name
    4624SecurityInformation3NTLM
    4625SecurityInformation3NTLM

    PowerShell活动

    PowerShell事件可能很有趣,因为在现代Windows安装中默认包含Powershell。 如果PowerShell脚本失败,则可能表示配置错误,文件丢失或恶意活动。 使用Get-MessageTrackingLog cmdlet可以枚举Exchange Server邮件元数据,返回有关通过服务器传输的每封邮件的历史记录的详细信息。

    可以使用PowerShell 5.0+和PowerShell 4.0启用脚本块日志记录,并启用修补程序。 欲获得更多信息:

    IDLevelEvent LogEvent Source
    Get-MessageTrackingLog cmdlet800InformationPowershellMicrosoft-Windows-Powershell
    远程连接169InformationPowershellMicrosoft-Windows-Powershell
    Exception Raised4103InformationMicrosoft-Windows-Powershell/OperationalMicrosoft-Windows-Powershell
    脚本块内容4104InformationMicrosoft-Windows-Powershell/OperationalMicrosoft-Windows-Powershell
    脚本块启动4105InformationMicrosoft-Windows-Powershell/OperationalMicrosoft-Windows-Powershell
    脚本块关闭4106InformationMicrosoft-Windows-Powershell/OperationalMicrosoft-Windows-Powershell

    打印服务

    文档打印对于许多环境中的日常操作至关重要。 大量的打印请求增加了跟踪和识别哪个文档被打印以及由谁打印的难度。 可以以多种方式记录转发到打印机进行处理的文档以用于记录目的。 每个打印作业都可以由打印服务器,打印机本身或请求机器记录。 记录这些活动可以及早检测打印某些文档。 在请求打印文档的客户端计算机上生成以下事件。 此事件应被视为历史记录或其他证据,而不是印刷工作的审计记录。

    默认情况下禁用此操作日志,并且需要启用日志才能捕获此事件。

    IDLevelEvent LogEvent Source
    打印文件307InformationMicrosoft-Windows-PrintService/OperationalMicrosoft-Windows-PrintService

    远程登录桌面检测

    使用事件查看器GUI无法轻松识别远程桌面帐户活动事件。 当帐户远程连接到客户端时,会创建一个通用的成功登录事件。 自定义查询过滤器可以帮助澄清已执行的登录类型。 下面的查询显示使用远程桌面登录。 应该监视远程桌面活动,因为只有某些管理员应该使用它,并且它们应该来自一组有限的管理工作站。 应调查任何超出预期活动的远程桌面登录。

    下面的XPath查询用于事件查看器的自定义视图。 事件ID 4624和事件ID 4634分别指示用户何时登录并使用RDP注销。 值为10的LogonType表示远程交互式登录。

    <QueryList>
      <Query Id="0" Path="ForwardedEvent">
        <Select Path="ForwardedEvents">
        <!-- Collects Logon and Logoffs in RDP -->
        <!-- Remote Desktop Protocol Connections -->
          *[System[(Level=4 or Level=0) and (EventID=4624 or EventID=4634)]]
          and
          *[EventData[Data[@Name='LogonType']='10')]]
          and
        (*[EventData[Data[5]='10')]]
          or
          *[EventData[Data[@Name='AuthenticationPackageName'] = 'Negotiate']])
        </Select>
      </Query>
    </QueryList>
    
    Event IDLogLevelLogonTypeAuthentication Pkg Name
    4624SecurityInformation10Negotiate
    4634SecurityInformation10N/A

    软件和服务安装

    作为正常网络操作的一部分,将安装新的软件和服务,监控此活动是有价值的。 管理员可以查看这些日志以查找新安装的软件或系统服务,并验证它们不会对网络造成风险。

    应当注意,在Windows 7上每天12:30生成附加的程序库存事件ID 800,以提供应用程序活动的摘要(例如,新应用程序安装的数量)。 在Windows 8上也会在不同情况下生成事件ID 800。 此事件有助于管理员查找在计算机上安装或删除的应用程序数量。

    IDLevelEvent LogEvent Source
    新应用程序安装903, 904InformationMicrosoft-Windows-Application-Experience/Program-InventoryMicrosoft-Windows-Application-Experience
    新内核过滤器驱动程序6InformationSystemMicrosoft-Windows-FilterManager
    安装了新的MSI文件1022, 1033InformationApplicationMsiInstaller
    新的Windows服务7045InformationSystemMicrosoft-Windows-FilterManager
    删除了申请907, 908InformationMicrosoft-Windows-Application-Experience/Program-InventoryMicrosoft-Windows-Application-Experience
    服务启动失败7000ErrorSystemService Control Manager
    软件活动摘要800InformationMicrosoft-Windows-Application-Experience/Program-InventoryMicrosoft-Windows-Application-Experience
    更新安装包2InformationSetupMicrosoft-Windows-Servicing
    更新申请905, 906InformationMicrosoft-Windows-Application-Experience/Program-InventoryMicrosoft-Windows-Application-Experience
    Windows Update已安装19InformationSystemMicrosoft-Windows-WindowsUpdateClient

    System Integrity

    系统完整性可确保在存在操作的情况下主机的可信度。识别主机异常更改的能力可能会妨碍额外的完整性妥协,并可能阻止此类更改。必须启用审计注册表审计安全状态更改组策略。除非将SACL应用于所需的注册表项或值,否则不会生成注册表修改事件(请参阅Windows 10和Windows Server 2016安全审核和监视参考)。可以在Microsoft的威胁防护文章使用Windows事件转发帮助入侵检测附录B,Microsoft关于[要监控的注册表值]的保护PKI TechNet文章(https://technet.microsoft.com/en-us/library/dn786423.aspx),SwiftOnSecurity的GitHub项目名为sysmon-config,Spectre Ops的Subverting Trust Windows白皮书和CylanceWindows注册表持久性,第1部分:介绍,攻击,阶段和Windows服务

    IDLevelEvent LogEvent Source
    注册表修改4657InformationSecurityMicrosoft-Windows-Security-Auditing
    系统时间已更改1InformationSystemMicrosoft-Windows-Kernel-General
    系统时间已更改4616InformationSecurityMicrosoft-Windows-Security-Auditing

    可能会监视的详尽的注册表项和值列表(值得注意的是,这里只列举了我认为是重要的项)

    Registry key / value
    HKLM\SYSTEM\CurrentControlSet\Services\Ntmssvc\
    HKLM\SYSTEM\CurrentControlSet\Services\NWCWorkstation\
    HKLM\SYSTEM\CurrentControlSet\Services\Nwsapagent\
    HKLM\SYSTEM\CurrentControlSet\Services\SRService\
    HKLM\SYSTEM\CurrentControlSet\Services\WmdmPmSp\
    HKLM\SYSTEM\CurrentControlSet\Services\LogonHours\
    HKLM\SYSTEM\CurrentControlSet\Services\PCAudit\
    HKLM\SYSTEM\CurrentControlSet\Services\helpsvc\
    HKLM\SYSTEM\CurrentControlSet\Services\uploadmgr\
    HKLM\SYSTEM\CurrentControlSet\Services\FastUserSwitchingCompatibility\
    HKLM\SYSTEM\CurrentControlSet\Services\Ias\
    HKLM\SYSTEM\CurrentControlSet\Services\Nla\
    HKLM\SYSTEM\CurrentControlSet\Services\Wmi\
    HKLM\SYSTEM\CurrentControlSet\Services\Irmon\
    HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
    HKLM\SOFTWARE\Microsoft\Cryptography\OID\
    HKLM\SOFTWARE\Microsoft\Cryptography\Providers\Trust\
    HKLM\SOFTWARE\Microsoft\WOW6432Node\Microsoft\Cryptography\OID\
    HKLM\SOFTWARE\Microsoft\WOW6432Node\Microsoft\Cryptography\Providers\Trust
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers\

    系统或服务失败

    系统和服务故障是可能需要调查的有趣事件。 服务操作通常不会失败。 如果服务失败,则可能会引起关注,应由管理员进行审核。 如果Windows服务在同一台计算机上反复出现故障,则可能表示攻击者正在以服务为目标。

    IDLevelEvent LogEvent Source
    Windows服务失败或崩溃7022, 7023, 7024, 7026, 7031, 7032, 7034ErrorSystemService Control Manager

    计划任务程序相关活动

    可以恶意创建或删除计划任务。 例如,可以使用任务计划程序创建在下载恶意文件或将恶意软件加载到内存之前等待某些先决条件的任务。

    IDLevelEvent LogEvent Source
    新任务已注册106InformationMicrosoft-Windows-TaskScheduler/OperationalMicrosoft-Windows-TaskScheduler
    任务已删除141InformationMicrosoft-Windows-TaskScheduler/OperationalMicrosoft-Windows-TaskScheduler
    任务已禁用142InformationMicrosoft-Windows-TaskScheduler/OperationalMicrosoft-Windows-TaskScheduler
    任务启动200InformationMicrosoft-Windows-TaskScheduler/OperationalMicrosoft-Windows-TaskScheduler

    Windows Defender防病毒活动

    间谍软件和恶意软件仍然是一个严重的问题,微软开发了反间谍软件和防病毒软件Windows Defender来对抗这种威胁。 应调查任何检测,删除或阻止这些恶意程序的通知。 如果Windows Defender无法正常运行,管理员应立即纠正问题,以防止感染或进一步感染。 如果当前正在使用第三方防病毒和反间谍软件产品,则无需收集这些事件。

    IDLevelEvent LogEvent Source
    对恶意软件的操作失败1008ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    检测到的恶意软件1006, 1116WarningMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    无法从隔离区中删除项目1010ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    无法更新引擎2003ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    无法更新签名2001ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    从隔离区恢复的文件1009InformationMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    恶意软件删除错误1118InformationMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    恶意软件删除致命错误1119ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    恶意软件删除1007, 1117InformationMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    实时保护失败3002ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    恢复到最后已知的良好签名集2004WarningMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    扫描失败1005ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender
    意外的错误5008ErrorMicrosoft-Windows-Windows Defender/OperationalMicrosoft-Windows-Windows Defender

    Windows防火墙

    如果客户端工作站正在利用内置的基于主机的Windows防火墙,那么收集事件以跟踪防火墙状态是有价值的。 例如,如果防火墙状态从打开变为关闭,则应收集该日志。 普通用户不应该修改本地计算机的防火墙规则。 列出的Windows操作系统版本的以下事件仅适用于本地防火墙设置的修改。

    IDLevelEvent LogEvent Source
    防火墙无法加载组策略2009ErrorMicrosoft-Windows-Windows Firewall With Advanced Security/FirewallMicrosoft-Windows-Windows Firewall With Advanced Security
    防火墙规则添加2004InformationMicrosoft-Windows-Windows Firewall With Advanced Security/FirewallMicrosoft-Windows-Windows Firewall With Advanced Security
    防火墙规则更改2005InformationMicrosoft-Windows-Windows Firewall With Advanced Security/FirewallMicrosoft-Windows-Windows Firewall With Advanced Security
    防火墙规则删除2006, 2033InformationMicrosoft-Windows-Windows Firewall With Advanced Security/FirewallMicrosoft-Windows-Windows Firewall With Advanced Security

    Windows Update错误

    操作系统必须保持最新以减轻已知漏洞。 尽管不太可能,但这些补丁有时可能无法应用。 应解决无法更新问题的问题,以避免延长应用程序问题或操作系统或应用程序中的漏洞。

    IDLevelEvent LogEvent Source
    获取最新补丁失败1009InformationSetupMicrosoft-Windows-Servicing
    windows更新失败20, 24, 25, 31, 34, 35ErrorMicrosoft-Windows-WindowsUpdateClient/OperationalMicrosoft-Windows-WindowsUpdateClient

    声明:该文章来自github,本人仅做机器翻译,加了一点点(微不足道)的个人理解。通过一下午的学习,深感自己与他人之间的差距犹如鸿沟。如果还在满足于过去的那点知识,很快,你会被整个社会淘汰。

    ——致自己

    最后,你可以看到受限于译者的技术水平本文没有完全翻译,部分内容译者也在理解学习中。

    展开全文
    qq_36334464 2019-08-22 17:30:29
  • 调用链与日志关联式跟踪查询 长假过完,相信无缘支付宝中国锦鲤的你一定已经回来工作了。虽然轻轻松松与全球免单大礼包失之交臂,但不要丧气,小编悄悄为你准备了一份秘籍,助你在2018年最后不到三个月的时间里...

    调用链与日志的关联式跟踪查询

    长假过完,相信无缘支付宝中国锦鲤的你一定已经回来工作了。虽然轻轻松松与全球免单大礼包失之交臂,但不要丧气,小编悄悄为你准备了一份秘籍,助你在2018年最后不到三个月的时间里成功逆袭,斩获年终奖的大锦鲤! 本月小编将带大家一起了解UAVStack的调用链技术,讲述调用链技术的源起、实现、应用以及关键技术。好好研习本月的每篇推送,说不定年终奖的锦鲤就是你哦~~~赶快进入正文吧


    近年来,Observability一词开始在监控社区流行。笔者将Observability视为一种理念,一种监控的超集,涵盖监控、日志聚合和分布式跟踪,能够更加深入地实时观察系统。本文将就日志聚合、分布式跟踪及二者的关联运用展开说明。

    调用链与日志聚合的关联

    微服务、云和容器化架构的出现,改变了我们构建系统的方式。应用程序是分布式的,而且瞬息万变;底层基础设施和网络服务愈加健壮。日常系统运维的大部分工作将集中于应用程序层或不同应用程序之间的复杂交互调用。

    对于复杂的跨系统调用,一次请求可能需要后台几台或上百台节点的支持。此时,单纯依靠人力已经很难追踪到一次请求的完整调用流程,而最能反映每次请求处理过程的应该是分布式追踪调用链(下文简称“调用链”)。

    调用链着眼于一次请求的完整调用流程,当细粒到具体节点时,应用系统自身打印的日志最能说明当前节点的处理逻辑。

    下图呈现了调用链和日志聚合的关联方式:

    调用链的作用是记录并汇总展示一次请求所经过的所有节点和关键操作,如图中绿色箭头,从全局的层面展示一次请求的完整调用流程。

    日志聚合的作用是汇总整理所有节点和系统产生的日志,并为用户提供友好有效的查询能力。

    传统的处理方式往往需要在调用链和日志聚合之间反复切换,即在调用链上发现问题后,需要切换到日志聚合,根据特定属性查询对应的日志信息,排查日志信息后再次返回调用链,查询与日志信息关联的调用链信息……如此往返多次。

    对于这种经典场景,日志与调用链的关联式跟踪查询提供了一种全新的闭环处理模式:

    由上图可以看出,从调用链入口进入,可以根据调用链关联到与当前调用链相关的日志,根据日志又可以关联到与当前日志相关的调用链;从日志入口进入,可以根据日志关联到与当前日志相关的调用链,根据调用链又可以关联到与当前调用链相关的日志。两种模式可以相互切换。

    举个栗子

    通过日志聚合搜索,用户小明发现A系统的一段日志存在异常。此时,小明可以通过此条日志关联找出对应的调用过程a。通过观察调用链a,小明发现,异常是由调用链a上的节点a[2]超时导致。现在小明可以从调用链关联到与节点a[2]相关的日志内容,从而确定问题(详见下文“效果展示”)。

    整体架构设计

    1.数据抓取:

    在应用集群中的机器上部署代理程序(Agent),用于数据收集和上送;将探针内嵌在容器(Tomcat等)中,用于应用画像和应用信息收集。

    2.数据传输:

    Agent通过MQ将处理过的日志上送到监控服务器。

    3.数据处理与存储:

    监控服务器对采集的数据进行处理,并将其存入ES,方便用户通过特定特征快速定位。

    4.数据展示:

    将数据进行可视化展示,并提供方便的可视化自定义查询服务。

    具体实现

    在介绍调用链和日志聚合的具体实现之前需要先明确几个概念:

    1. 中间件劫持技术:

    在中间件启动时动态地将自己的代码行为植入中间件的各种行为中的技术。例如,在Tomcat启动时,在Tomcat处理请求的开始位置动态地添加代码劫持,从而在Tomcat执行处理请求逻辑之前实现服务调用画像等功能。更多能力及实现方式请参考JAVA服务治理实践之无侵入的应用服务监控

    2. traceId:

    通过中间件劫持技术在服务调用的最前端产生能够唯一确定一条调用链的ID。

    主要实现逻辑:

    1. 在应用容器启动时,使用中间件劫持技术在服务调用入口和应用日志写文件入口位置添加劫持点。
    2. 在发生服务调用时,生成调用链元数据和上下文。
    3. 当应用写日志时,通过写文件入口劫持点获取当前调用的调用链上下文,将traceId与应用日志一同写入应用日志文件。
    4. 日志归集将生成的日志文件聚合整理上送到监控服务器。
    5. 监控服务器对收集到的日志信息进行处理并存入ES。
    6. 通过Web页面展示存储在ES中的数据。

    核心逻辑如下图:

    调用链和日志聚合实现

    调用链部分:模型设计、服务端信息收集(轻/重)、方法级信息收集(轻/重)、客户端信息收集(轻/重)、调用链协议设计(轻/重)、调用链上下文传递、调用信息记录及传递、调用数据统计处理几个关键过程。

    关键技术:中间件劫持增强框架、调用模型设计和调用链上下文传递。

    详情参见:架构文档

    应用日志部分:日志归集,日志内容处理传输,服务端日志处理及存储等几个关键步骤。

    关键技术:服务画像技术、日志归集。

    详情参见:架构文档

    欢迎下载UAVStack的源码AllInOne开发演示版体验。

    效果展示

    调用链入口

    根据搜索条件,获取某次调用的过程,点击搜索结果进入该调用的详细过程界面。
    点击右侧的关联按钮,快速定位到与之相关联日志。
    日志入口
    根据搜索条件(图中为按照Hello关键字进行搜索),搜索出符合条件的日志。
    点击特定日志即可进入对应的调用过程界面。


    以上就是对调用链概念、功能及实现策略的介绍,下期文章我们将继续介绍调用链的模型设计与模型时序图,欢迎继续关注~

    官方网站

    开源地址

    UAVStack已在Github上开放源码,并提供了安装部署、架构说明和用户指南等双语文档,欢迎访问-给星-拉取~~~

    扫一扫下方二维码,关注一个不会让你失望的公众号

    大家好,我是李崇,宜信架构师,宜信集团级监控项目monitor、apm及ServiceGovern领域负责人。我。同时也是开源项目UAVStack核心开发人员,本周六(10月20日)我会做客掘金技术沙龙为大家做一场《多技术栈下的APM系统-UAVStack》的分享,欢迎大家可以现场交流。

    点击图片了解详情:

    转载于:https://juejin.im/post/5bc6f01fe51d45021147fe5a

    展开全文
    weixin_33921089 2018-10-17 08:57:54
  • weixin_43355264 2020-02-11 18:13:48
  • peterwanghao 2018-10-08 11:14:29
  • lizhou828 2017-12-20 17:44:41
  • m0_47157676 2020-08-18 20:26:34
  • xstardust 2018-08-09 15:59:33
  • bigsec 2017-01-05 11:19:14
  • konglongaa 2017-05-31 11:06:18
  • wangpeng198688 2016-01-21 14:15:14
  • peterwanghao 2018-09-20 12:35:08
  • qq_41210745 2019-12-05 23:43:40
  • Hu_wen 2019-10-11 11:29:41
  • jessise_zhan 2017-06-15 16:16:07
  • bohu83 2018-10-15 20:53:02
  • j3T9Z7H 2021-04-19 00:03:17
  • tzs_1041218129 2020-04-06 18:01:00
  • weixin_40543283 2018-10-18 11:14:05
  • qianshangding0708 2020-04-10 10:04:38
  • weixin_34319817 2018-09-10 10:26:33
  • weixin_44904816 2019-10-24 17:29:19
  • shuaigexiaobo 2018-01-04 09:57:08
  • whatday 2020-09-18 12:45:02
  • luoqinglong850102 2020-11-26 10:22:40
  • textboy 2016-08-22 11:31:24

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 34,145
精华内容 13,658
关键字:

日志监控关联策略