栏目分类
发布日期:2024-09-08 16:36 点击次数:169
图片白虎 a片
01
Windows事件日记简介
Windows事件日记文献本质上是数据库,其中包括筹办系统、安全、应用法子的记录。记录的事件包含9个元素:日历/时候、事件类型、用户、计较机、事件ID、源泉、类别、描述、数据等信息。
Windows事件日记共有五种事件类型,通盘的事件必须只可领有其中的一种事件类型。
1.信息(Information)信息事件指应用法子、驱动法子或就业的收效操作的事件。2.劝诫(Warning)劝诫事件指不是径直的、主要的,然则会导致改日问题发生的问题。举例,当磁盘空间不及或未找到打印机时,王人会记录一个“劝诫”事件。3. 装假(Error)装假事件指用户应该知说念的进军的问题。装假事件不绝指功能和数据的丢失。举例, 如果一个就业不可行为系统迷惑被加载,那么它会产生一个装假事件。4. 收效审核(Success audit)收效的审核安全考查尝试,主若是指安全性日记,这里记录着用户登录/刊出、对象考查、特权使用、账户责罚、计谋编削、详备追踪、目次就业考查、账户登录等事件,举例通盘的收效登录系统王人会被记录为“收效审核”事件5.失败审核(Failure audit)失败的审核安全登录尝试,举例用户试图考查网罗驱动器失败,则该尝试会被行为失败审核事件记录下来。早在1993年的Windows NT3.1,微软就运利用用事件日记来记录多样事件的信息。在NT的进化流程中,事件日记的文献名和文献存放位置一直保捏不变,在Windows NT/Win2000/XP/Server 2003中, 日记文献的扩张名一直是evt,存储位置为“%systemroot%\System32\config”。从Windows Vista和Server 2008运行,日记文献的文献名、结构和存储位置发生了广宽改变, 文献扩张名改为evtx (XML体式) ,存储位置改为“%systemroot%\System32\WinEvt\logs”。
1、系统日记记录操作系统组件产生的事件,主要包括驱动法子、系统组件和应用软件的崩溃以及数据。默许位置:C:\WINDOWS\system32\config\SysEvent.EvtC:\WINDOWS\system32\winevt\Logs\System.evtx 2.应用法子日记包含由应用法子或系统法子记录的事件,主要记录法子运行方面的事件。默许位置:C:\WINDOWS\system32\config\AppEvent.EvtC:\WINDOWS\system32\winevt\Logs\Application.evtx 3.安全日记记录系统的安全审计事件,包含多样类型的登录日记、对象考查日记、程度追踪日记、特权使用、帐号责罚、计谋变更、系统事件。安全日记亦然考查取证中最常用到的日记。默许种植下,安全性日记是关闭的,责罚员不错使用组计谋来启动安全性日记,大意在注册表中种植审核计谋,以便当安全性日记满后使系统住手反应。默许位置:C:\WINDOWS\system32\config\SecEvent.EvtC:\WINDOWS\system32\winevt\Logs\Security.evtx固然险些通盘事件记录在考查流程中王人或多或少带来匡助,然则大大量的考查取证中,安全日记中找到痕迹的可能性最大。系统和应用法子日记存储着故障摒除信息,关于系统责罚员更为有效。安全日记记录着事件审计信息,包括用户考证(登录、云尔考查等)和特定用户在认证后对系统作念了什么,关于考查东说念主员而言,更有匡助。
02
巨乳娘大战僵尸审核计谋与事件检察器
开启审核计谋,建树根据执行业务日记属性,因为有些系统审核功能在默许现象下并莫得启用,冷落开启审核计谋,若日后系统出现故障、安全事故则不错检察系统的日记文献,摒除故障,追查入侵者的信息等。
1、建树安全计谋运行 → 责罚器具 → 腹地安全计谋 → 腹地计谋 → 审核计谋,根据执行情况进行建树win + r -> 输入 secpol.msc2、种植合理的日记属性,即日记最大大小、事件袒护阀值等win + R --> 输入 eventvwr.msc ,进行日记属性建树。3、检察系统日记步调:在“运行”菜单上,按序指向“通盘法子”、“责罚器具”,然后单击“事件检察器”Win + R,输入 eventvwr.msc 径直投入“事件检察器”图片
图片
03
事件日记分析
关于Windows事件日记分析,不同的EVENT ID代表了不同的道理道理,摘记一些常见的安全事件的讲明:
事件ID 讲明4624 登录收效4625 登录失败4634 刊出收效4647 用户启动的刊出4672 使用超等用户(如责罚员)进行登录4720 创建用户每个收效登录的事件王人会符号一个登录类型,不同登录类型代表不同的神志:登录类型 描述 讲明2 交互式登录(Interactive) 用户在腹地进行登录。3 网罗(Network) 最常见的情况等于集会到分享文献夹或分享打印机时。Window 安全事件(EVENT ID)查询表4 批处理(Batch) 不绝标明某诡计任务启动。5 就业(Service) 每种就业王人被建树在某个特定的用户账号下运行。7 解锁(Unlock) 屏保解锁。8 网罗明文(NetworkCleartext) 登录的密码在网罗上是通过明文传输的,如FTP。9 新笔据(NewCredentials) 使用带/Netonly参数的RUNAS号召运行一个法子。10 云尔交互,(RemoteInteractive) 通过末端就业、云尔桌面或云尔协助考查计较机。11 缓存交互(CachedInteractive) 以一个域用户登录而又莫得域扫尾器可用
Window 安全事件(EVENT ID)查询表
Beret-Sec,公众号:贝雷帽SECWindow 安全事件(EVENT ID)查询表04
使用powershell 日记分析
使用 powershell的 Get-EventLog 和 Get-WinEvent 号召进行日记取得分析。
1、Get-EventLog 从腹地和云尔计较机取得事件和事件日记。默许情况下, Get-EventLog 从腹地计较机取得日记。
Get-EventLog 常用示例
Beret-Sec,公众号:贝雷帽SECWindow 日记分析——PowerShell号召2、Get-WinEvent 从事件日记中取得事件,包括经典日记,举例系统和应用法子日记。cmdlet 从 Windows Vista 中引入的 Windows 事件日记期间生成的事件日记中取得数据,以及 Windows (ETW) 事件追踪 生成的日记文献中的事件。默许情况下, Get-WinEvent 按最新到最旧的规矩复返事件信息。
Get-WinEvent 常用示例
Beret-Sec,公众号:贝雷帽SECWindow 日记分析——PowerShell号召205
使用日记分析器具
5.1 系统自带器具
使用系统自带查询器具进行分析可径直种植查询条目进行过滤大意使用手动剪辑的神志进行查询。
图片
5.2 常用日记分析器具
1、LogParserLogParser是微软公司提供的一款日记分析器具,不错对基于文实质式的日记文献、XML文献和CSV文献,以及Windows操作系统上的事件日记、注册表、文献系统等等进行处理分析,分析后果不错保存在基于文本的自界说体式中、SQL大意是利用多样图表进行展示。下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659使用语法:LogParser –i:输入文献的体式 –o:念念要输出的体式 “SQL语句”登录收效的通盘事件LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624'指定登录时候范畴的事件:LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where TimeGenerated>'2021-04-25 00:00:01' and TimeGenerated<'2021-04-30 00:00:01' and EventID=4624'索要登录收效的用户名和IP:LogParser.exe -i:EVT –o:DATAGRID 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624'登录失败的通盘事件:LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4625'索要登录失败用户名进行团员统计:LogParser.exe -i:EVT 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM .\Security1.evtx where EventID=4625 GROUP BY Message'系统历史开关机记录:LogParser.exe -i:EVT –o:DATAGRID 'SELECT TimeGenerated,EventID,Message FROM .\System1.evtx where EventID=6005 or EventID=6006'更多使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
图片
2、LogParser Lizard
Log Parser Lizard是一款专科实用的日记分析软件。该款器具不错将日记查询后果导出Excel、图表、面容板等体式,选定数据挖掘和多维分析期间分析出后果,内置抒发式剪辑器、过滤器剪辑器、数据透视表、表格等器具,为您进行日记分析带来极大的便利。
下载贯穿:https://www.lizard-labs.com/log_parser_lizard_download.aspx图片
3、Event Log Explorer
Event Log Explorer是一款终点好用的Windows日记分析器具。可用于检察,监视和分析跟事件记录,包括安全,系统,应用法子和其他微软Windows 的记录被纪录的事件,其执意的过滤功能不错快速的过滤出有价值的信息。
下载贯穿:https://event-log-explorer.en.softonic.com/
图片
4、Logfusion
LogFusion是一款功能执意的及时日记监控应用法子,专为系统责罚员和开采东说念主员联想!使用自界说隆起浮现章程、过滤等。您以至不错在计较机之间同步LogFusion种植。
下载贯穿:https://www.logfusion.ca/Download/图片
参考贯穿:https://zhuanlan.zhihu.com/p/385105096?utm_id=0
图片
本站仅提供存储就业,通盘内容均由用户发布,如发现存害或侵权内容,请点击举报。