精华内容
下载资源
问答
  • 前言在运维工作过程中,如若windows服务器被入侵,往往需要检索和...本文将介绍windows的日志类型、存放位置、检索方案以及方便检索工具使用方法。Windows日志在windows系统的运行过程中会不断记录日志信息,根...

    前言

    在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。

    本文将介绍windows的日志类型、存放位置、检索方案以及方便检索的工具使用方法。


    Windows日志

    在windows系统的运行过程中会不断记录日志信息,根据种类可以分为事件日志、IIS日志、FTP日志,数据库日志,邮件服务日志等。

    事件日志

    Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。运维人员可以根据日志取证,了解计算机所发生的具体行为。

    开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志

    79782e04d8688e0707868e154815fde0.png

    可以看到,事件查看器将日志分成了2大类,windows日志、应用程序和服务日志,windows日志中又有应用程序、安全、setup、系统、forwarded event这几种事件类型。以下将分别介绍:

    事件类型

    应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\Application.evtx

    系统日志

    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\System.evtx

    安全日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\Application.evtx

    转发事件

    日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx
    6d3147dafe324abaee592c0289ac2d97.png

    事件级别

    在事件日志中有5个事件级别。

    信息

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告

    警告事件指不是直接的、主要的,但是会导致将来发生问题的事件。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误

    错误事件指用户须知道的重要的问题,通常包括功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它将会产生一个错误事件。

    成功审核

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

    失败审核

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    7ae9c2c78ccb2f79fac1e56ede131aaa.png
    04c60beaff623f81b2b5da676fb526e5.png

    事件ID

    Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作

    https://docs.microsoft.com/en-us/windows/security/threat-protection/ 直接搜索 event + 相应的事件id 即可https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

    事件ID说明
    1102清理审计日志
    4624账号成功登录
    4625账号登录失败
    4720创建用户
    4726删除用户
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除

    每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式,这里就不一一列举了。

    下面配合一个案例查看日志:

    在攻击机器上爆破目标靶机的RDP,在靶机上查看日志信息

    1.开始-运行,输入 eventvwr.msc2.在事件查看器中,Windows日志 --> 安全,查看系统日志;3.在系统日志右侧操作中,点击筛选当前日志 ,输入事件 ID 进行筛选。4.输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 229,即用户登录失败了 229 次,那么这台服务器管理员账号可能遭遇了暴力猜解。

    415d4a21b3a9d6fa48ecc1cdeb1d6ac0.png

    日志工具

    Sysmone922eeb681ed6dffb13951e275298ba2.png

    Sysmon 是微软的一款轻量级的系统监控工具,最开始是由 Sysinternals 开发的,后来 Sysinternals 被微软收购,现在属于 Sysinternals 系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在 windows 的日志事件里。

    sysmon 特点是用完整的命令行记录子进程和父进程的创建行为。

    使用 sha1(默认),MD5,SHA256 或 IMPHASH 记录进程镜像文件的 hash 值。可以同时使用多个 hash,包括进程创建过程中的进程 GUID。

    每个事件中包含 session 的 GUID。

    下载地址

    https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

    安装

    Sysmon.exe -i

    更新配置文件

    sysmon.exe -c sysmonconfig-export.xml

    如果需要卸载

    sysmon.exe -u

    查看日志记录

    Win+R ,eventvwr.msc , 应用程序和服务日志 /Microsof/Windows/Sysmon/Operational

    Sysmon 日志默认保存在 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx,可在事件查看器的日志属性设置保存在远程服务器,或通过其他工具或脚本保存。

    logparser

    logparser 是一款 windows 日志分析工具,访问这里下载 https://www.microsoft.com/en-us/download/details.aspx?id=24659

    登录成功的所有事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"

    指定登录时间范围的事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated

    提取登录成功的用户名和IP

    LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

    登录失败的所有事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"

    提取登录失败用户名进行聚合统计

    LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message”

    系统历史开关机记录

    LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

    总结

    本文介绍了windows的日志类型,事件日志的类型、级别、存放位置和ID,日志的检索方案以及检索工具sysmon和logparser的使用。对于蓝队来说,应急和取证溯源离不开日志,因此定时的日志备份非常重要。

    作者:江苏智慧安全可信技术研究院

    扫描关注乌雲安全

    7691bba519f68b968d0f26ecab9a6a1a.png

    觉得不错点个“赞”、“在看”哦6611822363e792e185bcafcd7eceebd9.png

    展开全文
  • 前言在运维工作过程中,如若windows服务器被入侵,往往需要检索和...本文将介绍windows的日志类型、存放位置、检索方案以及方便检索工具使用方法。Windows日志在windows系统的运行过程中会不断记录日志信息,根...

    前言

    在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。

    本文将介绍windows的日志类型、存放位置、检索方案以及方便检索的工具使用方法。


    Windows日志

    在windows系统的运行过程中会不断记录日志信息,根据种类可以分为事件日志、IIS日志、FTP日志,数据库日志,邮件服务日志等。

    事件日志

    Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。运维人员可以根据日志取证,了解计算机所发生的具体行为。

    开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志

    62b30bf821a8a720c4e797b8b3822d96.png

    可以看到,事件查看器将日志分成了2大类,windows日志、应用程序和服务日志,windows日志中又有应用程序、安全、setup、系统、forwarded event这几种事件类型。以下将分别介绍:

    事件类型

    应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\Application.evtx

    系统日志

    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\System.evtx

    安全日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\Application.evtx

    转发事件

    日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx
    1544c7ac51913f3417be13cb263ca819.png

    事件级别

    在事件日志中有5个事件级别。

    信息

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告

    警告事件指不是直接的、主要的,但是会导致将来发生问题的事件。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误

    错误事件指用户须知道的重要的问题,通常包括功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它将会产生一个错误事件。

    成功审核

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

    失败审核

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    96b9b933bb97825628c0c1c7faa36456.png
    77ab5ea2e697840c6c01b29df45c7fbe.png

    事件ID

    Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作

    https://docs.microsoft.com/en-us/windows/security/threat-protection/ 直接搜索 event + 相应的事件id 即可https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

    事件ID说明
    1102清理审计日志
    4624账号成功登录
    4625账号登录失败
    4720创建用户
    4726删除用户
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除

    每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式,这里就不一一列举了。

    下面配合一个案例查看日志:

    在攻击机器上爆破目标靶机的RDP,在靶机上查看日志信息

    1.开始-运行,输入 eventvwr.msc2.在事件查看器中,Windows日志 --> 安全,查看系统日志;3.在系统日志右侧操作中,点击筛选当前日志 ,输入事件 ID 进行筛选。4.输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 229,即用户登录失败了 229 次,那么这台服务器管理员账号可能遭遇了暴力猜解。

    388f1b6229a585d4d495ad3f0e90b3c3.png

    日志工具

    Sysmonbe5a07e1146584b878a4c4cdc135f257.png

    Sysmon 是微软的一款轻量级的系统监控工具,最开始是由 Sysinternals 开发的,后来 Sysinternals 被微软收购,现在属于 Sysinternals 系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在 windows 的日志事件里。

    sysmon 特点是用完整的命令行记录子进程和父进程的创建行为。

    使用 sha1(默认),MD5,SHA256 或 IMPHASH 记录进程镜像文件的 hash 值。可以同时使用多个 hash,包括进程创建过程中的进程 GUID。

    每个事件中包含 session 的 GUID。

    下载地址

    https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

    安装

    Sysmon.exe -i

    更新配置文件

    sysmon.exe -c sysmonconfig-export.xml

    如果需要卸载

    sysmon.exe -u

    查看日志记录

    Win+R ,eventvwr.msc , 应用程序和服务日志 /Microsof/Windows/Sysmon/Operational

    Sysmon 日志默认保存在 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx,可在事件查看器的日志属性设置保存在远程服务器,或通过其他工具或脚本保存。

    logparser

    logparser 是一款 windows 日志分析工具,访问这里下载 https://www.microsoft.com/en-us/download/details.aspx?id=24659

    登录成功的所有事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"

    指定登录时间范围的事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated

    提取登录成功的用户名和IP

    LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

    登录失败的所有事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"

    提取登录失败用户名进行聚合统计

    LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message”

    系统历史开关机记录

    LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

    总结

    本文介绍了windows的日志类型,事件日志的类型、级别、存放位置和ID,日志的检索方案以及检索工具sysmon和logparser的使用。对于蓝队来说,应急和取证溯源离不开日志,因此定时的日志备份非常重要。

    作者:江苏智慧安全可信技术研究院

    扫描关注乌雲安全

    40e15c347407fa75423287a521c37ac4.png

    觉得不错点个“赞”、“在看”哦84923d4dce198aabdc51f1411666380a.png

    展开全文
  • 前言在运维工作过程中,如若windows服务器被入侵,往往需要检索和...本文将介绍windows的日志类型、存放位置、检索方案以及方便检索工具使用方法。Windows日志在windows系统的运行过程中会不断记录日志信息,根...

    24309c604302fa61bd703025463a366e.gif

    前言

    在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。

    本文将介绍windows的日志类型、存放位置、检索方案以及方便检索的工具使用方法。


    Windows日志

    在windows系统的运行过程中会不断记录日志信息,根据种类可以分为事件日志、IIS日志、FTP日志,数据库日志,邮件服务日志等。

    事件日志

    Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。运维人员可以根据日志取证,了解计算机所发生的具体行为。

    开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志

    b4bbc1814580038489c57b098f671afa.png

    可以看到,事件查看器将日志分成了2大类,windows日志、应用程序和服务日志,windows日志中又有应用程序、安全、setup、系统、forwarded event这几种事件类型。以下将分别介绍:

    事件类型

    应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\Application.evtx

    系统日志

    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\System.evtx

    安全日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\Application.evtx

    转发事件

    日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。

    默认位置: 

    %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx
    854f290b620056cd273efda4f5d247f3.png

    事件级别

    在事件日志中有5个事件级别。

    信息

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告

    警告事件指不是直接的、主要的,但是会导致将来发生问题的事件。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误

    错误事件指用户须知道的重要的问题,通常包括功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它将会产生一个错误事件。

    成功审核

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

    失败审核

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    4b90e598e760c30d425e82597dac4332.png
    5b9534945ed3ccb810d45a624f4ae454.png

    事件ID

    Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作

    https://docs.microsoft.com/en-us/windows/security/threat-protection/ 直接搜索 event + 相应的事件id 即可https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

    事件ID说明
    1102清理审计日志
    4624账号成功登录
    4625账号登录失败
    4720创建用户
    4726删除用户
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除

    每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式,这里就不一一列举了。

    下面配合一个案例查看日志:

    在攻击机器上爆破目标靶机的RDP,在靶机上查看日志信息

    1.开始-运行,输入 eventvwr.msc2.在事件查看器中,Windows日志 --> 安全,查看系统日志;3.在系统日志右侧操作中,点击筛选当前日志 ,输入事件 ID 进行筛选。4.输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 229,即用户登录失败了 229 次,那么这台服务器管理员账号可能遭遇了暴力猜解。

    385b3cdd01f8b99bbae30742851be61e.png

    日志工具

    Sysmond15d2377b461744b7873d553a7b359d8.png

    Sysmon 是微软的一款轻量级的系统监控工具,最开始是由 Sysinternals 开发的,后来 Sysinternals 被微软收购,现在属于 Sysinternals 系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在 windows 的日志事件里。

    sysmon 特点是用完整的命令行记录子进程和父进程的创建行为。

    使用 sha1(默认),MD5,SHA256 或 IMPHASH 记录进程镜像文件的 hash 值。可以同时使用多个 hash,包括进程创建过程中的进程 GUID。

    每个事件中包含 session 的 GUID。

    下载地址

    https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

    安装

    Sysmon.exe -i

    更新配置文件

    sysmon.exe -c sysmonconfig-export.xml

    如果需要卸载

    sysmon.exe -u

    查看日志记录

    Win+R ,eventvwr.msc , 应用程序和服务日志 /Microsof/Windows/Sysmon/Operational

    Sysmon 日志默认保存在 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx,可在事件查看器的日志属性设置保存在远程服务器,或通过其他工具或脚本保存。

    logparser

    logparser 是一款 windows 日志分析工具,访问这里下载 https://www.microsoft.com/en-us/download/details.aspx?id=24659

    登录成功的所有事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"

    指定登录时间范围的事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated

    提取登录成功的用户名和IP

    LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

    登录失败的所有事件

    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"

    提取登录失败用户名进行聚合统计

    LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message”

    系统历史开关机记录

    LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

    总结

    本文介绍了windows的日志类型,事件日志的类型、级别、存放位置和ID,日志的检索方案以及检索工具sysmon和logparser的使用。对于蓝队来说,应急和取证溯源离不开日志,因此定时的日志备份非常重要。

    作者:江苏智慧安全可信技术研究院

    4dab22f3991a56b7bd763de17f8952bc.png

    717685737555ac5b135c737198b711e8.gif END

    |  More ·精彩回顾 |

    乡村网络安全意识培训专题会议成功召开

    2020年需要关注的七个新增/热门网络安全认证

    教育部:网络安全等16个领域纳入国家安全教育,大中小学全覆盖

    展开全文
  • 前言在运维工作过程中,如若windows服务器被入侵,往往需要检索和...本文将介绍windows的日志类型、存放位置、检索方案以及方便检索工具使用方法。Windows日志在windows系统的运行过程中会不断记录日志信息,根...

    679b4330037d89da1972ee2c542f14a4.gif

    前言

    在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。

    本文将介绍windows的日志类型、存放位置、检索方案以及方便检索的工具使用方法。


    Windows日志

    在windows系统的运行过程中会不断记录日志信息,根据种类可以分为事件日志、IIS日志、FTP日志,数据库日志,邮件服务日志等。

    事件日志

    Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。运维人员可以根据日志取证,了解计算机所发生的具体行为。

    开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志

    74c0eda7b3abcc18ea357eaec8d1153d.png

    可以看到,事件查看器将日志分成了2大类,windows日志、应用程序和服务日志,windows日志中又有应用程序、安全、setup、系统、forwarded event这几种事件类型。以下将分别介绍:

    事件类型

    应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决。

    默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx

    系统日志

    记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

    默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx

    安全日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx

    转发事件

    日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。

    默认位置: %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx

    da7ea4d99c27973ab931d242ef519952.png

    事件级别

    在事件日志中有5个事件级别。

    信息

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告

    警告事件指不是直接的、主要的,但是会导致将来发生问题的事件。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误

    错误事件指用户须知道的重要的问题,通常包括功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它将会产生一个错误事件。

    成功审核

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

    失败审核

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    17f84872f255c2296c46ee0a2f3c5de1.png
    ed9139de53c59c19daf45386ab25fc60.png

    事件ID

    Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作

    https://docs.microsoft.com/en-us/windows/security/threat-protection/ 直接搜索 event + 相应的事件id 即可https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

    事件ID说明
    1102清理审计日志
    4624账号成功登录
    4625账号登录失败
    4720创建用户
    4726删除用户
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除

    每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式,这里就不一一列举了。

    下面配合一个案例查看日志:

    在攻击机器上爆破目标靶机的RDP,在靶机上查看日志信息

    1.开始-运行,输入 eventvwr.msc2.在事件查看器中,Windows日志 --> 安全,查看系统日志;3.在系统日志右侧操作中,点击筛选当前日志 ,输入事件 ID 进行筛选。4.输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 229,即用户登录失败了 229 次,那么这台服务器管理员账号可能遭遇了暴力猜解。

    decd3da462c278bdf30ee67e52fed109.png

    日志工具

    Sysmon49feb7315c4ae6a4ec018d541c0320a6.png

    Sysmon 是微软的一款轻量级的系统监控工具,最开始是由 Sysinternals 开发的,后来 Sysinternals 被微软收购,现在属于 Sysinternals 系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在 windows 的日志事件里。

    sysmon 特点是用完整的命令行记录子进程和父进程的创建行为。

    使用 sha1(默认),MD5,SHA256 或 IMPHASH 记录进程镜像文件的 hash 值。可以同时使用多个 hash,包括进程创建过程中的进程 GUID。

    每个事件中包含 session 的 GUID。

    下载地址

    https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

    安装

                    Sysmon.exe -i            

    更新配置文件

                    sysmon.exe -c sysmonconfig-export.xml            

    如果需要卸载

                    sysmon.exe -u            

    查看日志记录

    Win+R ,eventvwr.msc , 应用程序和服务日志 /Microsof/Windows/Sysmon/Operational

    Sysmon 日志默认保存在 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx,可在事件查看器的日志属性设置保存在远程服务器,或通过其他工具或脚本保存。

    logparser

    logparser 是一款 windows 日志分析工具,访问这里下载 https://www.microsoft.com/en-us/download/details.aspx?id=24659

    登录成功的所有事件

                    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"            

    指定登录时间范围的事件

                    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated            

    提取登录成功的用户名和IP

                    LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"            

    登录失败的所有事件

                    LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"            

    提取登录失败用户名进行聚合统计

                    LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message”            

    系统历史开关机记录

                    LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"            

    总结

    本文介绍了windows的日志类型,事件日志的类型、级别、存放位置和ID,日志的检索方案以及检索工具sysmon和logparser的使用。对于蓝队来说,应急和取证溯源离不开日志,因此定时的日志备份非常重要。

    1f99f875d0c8a563abc8d19d15eaa331.png

    展开全文
  • APACHE日志分析工具

    2014-06-25 17:38:04
    很多apache日志分析工具都是要安装到服务器上的,而且安装非常麻烦,于是我写了一个单机版(exe,Windows),方便大家分析apache访问日志,绿色版的,直接解压就可以用。 功能: 1、导入apache访问日志; 2、访问...
  • 前言在运维工作过程中,如若windows服务器被入侵,往往需要检索和...本文将介绍windows的日志类型、存放位置、检索方案以及方便检索工具使用方法。Windows日志在windows系统的运行过程中会不断记录日志信息,根...
  • ELK日志检索系统--Logstash配置说明一

    千次阅读 2016-10-24 15:12:11
    Logstash是一款轻量级的日志搜集处理框架,可以方便的把分散的、多样化的日志搜集起来,并进行自定义的处理,然后传输到指定的位置,比如某个服务器或者文件。本文针对官方文档进行翻译以及实践,希望有更多的有用户...
  • Subversion 是一个版本控制系统,允许保存旧版本的文件和目录 (通常是源代码),保存一个记录何人,何时,为何作出修改等等信息的日志,与 CVS,RCS 或者 SCCS 工具类似。 Subversion 保存着主控源文件的单一拷贝。这...
  • 1.检索数据: 对海量数据的应用进行快速搜索 2.数据分析: ELK生态圈支持对大规模的日志实时进行收集、分析和展示 3.分布式存储:ES提供的分片/持久化方案相对于传统存储解决方案不论是存储速度与规模都有很好提升 ...
  • 2、单个日志文件巨大,无法使用常用的文本工具分析,检索困难;3、日志分布在多台不同的服务器上,业务一旦出现故障,需要一台台查看日志。为什么要做日志分析平台?随着业务量的增长,每天业务服务器将会产生上亿条...
  • logrotate工具日志管理

    2014-04-11 22:38:42
    [技巧]用logrotate进行MySQL日志管理2013-05-15 14:15:34分类: Mysql/postgreSQL原因:面对累计长时间的慢查询日志,检索起来非常不方便. 目的:按天分割慢查询日志. 方法:利用logrotate工具 实现 logrotate介绍 ...
  • 常用:查看最近1000行log sudo journalctl -f --lines=1000-u server.$PROJECT_NAME ... 默认显示完整的字段内容(超长的部分换行显示或者被分页工具截断)。 老旧的-l/--full选项 仅用于撤销已有的--no-full选...
  • Windows事件日志消息(WELM)工具检索嵌入在二进制文件中的Windows事件日志消息的定义。 该工具的输出可用于为操作系统创建事件信息的详尽列表。 该工具最初是为了帮助编写“ 论文而开发的,但已证明在许多情况下很...
  • 这个问题的难度是数据量太大,而且还不能使用第三方工具。如果不考虑时间的话,简单的想了一个思路:1、首先将12G的日志文件切分成比如:100份,每份120M左右。如果内存太少,可以切分成更多份。2、由于切分后的每个...
  • 不同级别日志用不同颜色区分,还有检索功能。 参考:https://plugins.jetbrains.com/plugin/7125-grep-console
  • 1.目标 远程管理各服务日志,自动轮转。 2.日志集中管理服务rsyslog rsyslog默认linux自动安装 # service rsyslog restart ...# 检索全文,查看local关键词(local0到local7是我们需要注意的部...
  • 1、logstash:日志、事件管理工具,可以收集、分析(过滤)、存储  它有两种运行模式:  standalone:所有的都部署在同一台服务器上  centralized:多服务器模式 2、elasticsearch:开源搜索引擎,用...
  • logstach作为日志收集工具 1.支持多种数据源输入 2.支持多种过滤器 3.支持多种数据输出目的地 实例1: input { file{ path =>["/etc/passwd","/var/log/messages"] start_position =>“beginning” si...
  • ELK 日志处理开发指南

    千次阅读 2018-01-03 17:17:34
    ELK 分别代表分布式搜索引擎 Elasticsearch、日志采集与解析工具 Logstash、日志可视化分析工具Kibana,具有配置方式灵活、集群可线性扩展、日志实时导入、检索性能高效、可视化分析方便等优点,已经成为业界日志...
  • 全文检索

    2014-01-17 17:14:24
    不过下边几个空表格怎么删除啊,,日志正文JAVA lucene全文检索工具包的理解与使用 1 lucene简介1.1 什么是lucene Lucene是一个全文搜索框架,而不是应用产品。因此它并不像www.baidu.com 或者google De...
  • 日志管理就是指对系统和应用程序产生的日志进行处理的方法,包括对日志进行统一收集,对日志数据进行筛选和解析,统一存储,还要让它们可以方便被检索。 如何快速发现和定位问题? 首先,日志集中式管理后,就可以...
  • 关于elasticsearch大数据日志检索工具的详细使用,中文带目录,高清
  • 快捷跳转写在前面的话运维与监控运营与...通过日志检索、关键字及业务指标监控,实现更快的问题发现及定位; 通过对日志数据的统计分析或深度挖掘,帮助更好的运营及决策; 从安全审计角度,有助于实现网络安全及...
  • ELK、Kafka日志搜集

    2020-04-14 17:50:08
    前言 使用 ELK+Kafka 首先需要安装相应的软件,我安装的都是 6.4.3的版本,不同的版本可能会有冲突。一些地方可能更改 其中这几个工具的作用分别是 ...ES 作为日志检索工具 Kibana 作为日志可视化工具 如...
  • ELK日志平台

    2021-04-10 17:58:33
    检索日志内容。可以创建索引。分布式。等等。 Logstash 是客户端工具,是基于JAVA语言编写的。主要是用于采集客户端机器上各种日志数据(系统日志,内核日志,安全日志,应用日志等)还可以对日志关键次,字段进行...
  • 一、全文检索引擎的介绍 -》ELK:ElasticSearch+Logstash...-》Kibana:日志分析展示工具 -》生活中的全文检索 -》查找某些不熟悉的东西,百度一下(网页搜索引擎:百度、搜狗、谷歌) 查找:生化武器 -》生...
  • rancher实现EFK日志收集

    2020-07-27 19:04:52
    在分布式系统中,由于节点服务会部署多台,一旦出现线上问题需要通过日志分析定位问题就需要登录服务器一台一台进行日志检索,非常不便利,这时候就需要用到EFK日志收集工具。 在应用服务端部署Filebeat,将我们...
  • VPC 流日志

    2019-07-23 10:50:00
    创建流日志后,您可以在选定目标中检索和查看其数据。 流日志可以帮助您完成大量任务;例如,排查流量未到达实例的原因,这反过来可帮助您诊断限制过于严格的安全组规则。您还可以使用流日志作为安全工具来监视...
  • ELK日志分析系统

    2020-01-14 20:20:34
    ELK简介 ELK是Elasticsearch、Logstash、Kibana的简称,实际应用中还包括...Logstash属于搜集、分析、过滤日志工具。它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。Logstash的输入可以...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 387
精华内容 154
热门标签
关键字:

日志检索工具