本文使用的环境为我前面博客中介绍的搭建方法。具体链接请参考windows日志转发_leeezp的博客-CSDN博客_windows日志转发 安装 ewk (es+winlogbeat+kibana) 转发主机日志_leeezp的博客-CSDN博客

这篇文章记录windows事件和日志的对应关系。

0x00  远程桌面连接登录(mstsc)

kibana 中添加过滤 host.name、event.action、winlog.event_data.LogonProcessName、winlog.event_data.LogonType、process.name、winlog.event_id。

登录成功有三条事件：

登录类型为 10，RemoteInteractive

意思是“通过rdp协议远程登录”。

Fantastic Windows Logon types and Where to Find Credentials in Them

事件id 为 4648，意思是“

当进程通过显式指定帐户的凭据尝试登录帐户时，将生成此事件。

这最常发生在批处理类型配置（如计划任务）中，或者使用"RUNAS"命令时

”

4648 (S) 尝试使用显式凭据登录。 (Windows 10) - Windows security | Microsoft Docs

登录失败如果在windows事件查看器 -- Windows日志 -- 安全 查看不到日志，可能是因为没有开启windows本地安全策略审核。(可能与windows版本或本地配置有关)

打开本地安全策略，cmd 输入 secpol.msc，如果报错“试图引用不存在的令牌”，

 将  C:\Windows\System32\secpol.msc  复制到其他目录，比如 桌面，双击打开即可。

在 “审核策略” -- “审核登录事件” 开启 “成功” 和 “失败”的日志：

设置完再次mstsc登录失败，在安全日志可以查看到登录失败 事件ID 4625 的告警：

如果没有配置本地安全策略开启登录审计，还有一个地方的日志可以发现一些端倪：

Hi,

You may view the Remote Desktop connection client ip address information in the following logs:

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManager

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Event Viewer\Windows Logs\Security  (Event ID: 4624, Logon Type: 10)

-TP

Logging IP adderess during remote desktop connection

我是在 Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

 刚好符合我密码字典里尝试的15次登录失败。

登录失败不清楚为什么会有1149 认证成功的日志。

这个日志可以用于远程登录失败的审计，无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。

爆破成功的日志为很多 4625 中出现 4624，logintype 都是10。

 如果看到 4778，4779 则表示 可能爆破时将正在登录的用户顶掉了。

0x01 UAC管理员账号登录

产生三条事件：

consent.exe 意思是“当用户开启用户账户控制（UAC）功能时，一个程序要更改或者使用一些比较高权限才能做的事情的功能的时候、还有当你使用管理员账户运行程序的时候，会弹出一个对话框，询问您是否允许程序修改计算机设置，这个对话框的进程就是consent.exe”。

consent.exe_百度百科

4672 (S) 分配给新登录的特殊权限。 (Windows 10) - Windows security | Microsoft Docs

4672 常常是管理员及以上权限的用户登录触发。

0x02 mimikatz sekurlsa::ekeys  显示Kerberos加密密钥

此操作默认windows是不会留下安全日志的。(多个win7环境测试)

打开本地安全的略--审核特权使用

执行 mimikatz privilege::debug sekurlsa::ekeys

SeTcbPrivilege

 该特权标志着其拥有者是操作系统的一部分，拥有该特权的进程可利用LsaLogonUser()执行创建登录令牌等操作，因此可以充当任意用户

经多次测试，2个文件系统的告警几乎和此告警同时出现，可视为这个操作同时产生的事件。

Windows 主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志

系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx
记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx
包含由应用程序或系统程序记录的事件，主要记录程序运行程序方面的事件。

安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx
记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

1.手工日志分析

1.日志文件位置
控制面板→ 管理工具 → 事件查看器
或者win + R:eventvwr.msc

2.EVENT ID含义
对于Windows事件日志分析，不同的EVENT ID代表了不同的意义，常见如下

4624 登录成功
4625 登录失败
4634 注销成功
4647 用户启动的注销
4672 使用超级用户登录（管理员）进行登录
4720 创建用户
4776 成功/失败的账户认证

https://blog.csdn.net/weixin_33695450/article/details/92324221
https://www.csdn.net/tags/NtDaYg0sMjM4OS1ibG9n.html

3.eventlog事件快速筛选



成功完成筛选

筛选系统日志

6006，6005，6009就表示不同状态的机器的情况
6005 信息 EventLog 事件日志服务已启动
6006 信息 EventLog 事件日志服务已停止
6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机

查看下6009


当然也可以一直查看6005-6009

2.Log Parser等工具使用日志分析

Log Parser下载
使用教程：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

LogParser是微软公司提供的一款日志分析工具，可以对基于文本格式的日志文件、XML文件和CSV文件，以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析，分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示。

1.Log Parser的使用
安装的目录再C:\Program Files (x86)\Log Parser 2.2

LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”

我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后，可以输出我们想要的格式。
输入源是某一种固定的格式，比如EVT(事件)，Registry(注册表)等，对于每一种输入源，它所涵盖的字段值是固定的，可以使用logparser –h –i:EVT查出(这里以EVT为例）

登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624”

待定…

2.Event Log Explorer
下载地址：https://event-log-explorer.en.softonic.com/
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看，监视和分析跟事件记录，包括安全，系统，应用程序和其他微软Windows 的记录被记载的事件，其强大的过滤功能可以快速的过滤出有价值的信息。

参考：https://blog.csdn.net/lza20001103/article/details/124637558?spm=1001.2014.3001.5502