Windows 日志分析

发布日期:2024-10-14 11:29    点击次数:187

图片

01

Windows事件日志简介

Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

Windows事件日志共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型。

1.信息(Information)信息事件指应用程序、驱动程序或服务的成功操作的事件。2.警告(Warning)警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。3. 错误(Error)错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。4. 成功审核(Success audit)成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件5.失败审核(Failure audit)失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

早在1993年的Windows NT3.1,微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/Win2000/XP/Server 2003中, 日志文件的扩展名一直是evt,存储位置为“%systemroot%\System32\config”。从Windows Vista和Server 2008开始,日志文件的文件名、结构和存储位置发生了巨大改变, 文件扩展名改为evtx (XML格式) ,存储位置改为“%systemroot%\System32\WinEvt\logs”。

 1、系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。默认位置:C:\WINDOWS\system32\config\SysEvent.EvtC:\WINDOWS\system32\winevt\Logs\System.evtx 2.应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。默认位置:C:\WINDOWS\system32\config\AppEvent.EvtC:\WINDOWS\system32\winevt\Logs\Application.evtx 3.安全日志记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。默认位置:C:\WINDOWS\system32\config\SecEvent.EvtC:\WINDOWS\system32\winevt\Logs\Security.evtx虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

02

审核策略与事件查看器

开启审核策略,配置根据实际业务日志属性,因为有些系统审核功能在默认状态下并没有启用,建议开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。

1、配置安全策略开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,根据实际情况进行配置win + r -> 输入 secpol.msc2、设置合理的日志属性,即日志最大大小、事件覆盖阀值等win + R --> 输入 eventvwr.msc ,进行日志属性配置。3、查看系统日志方法:在“开始”菜单上,依次指向“所有程序”、“管理工具”,然后单击“事件查看器”Win + R,输入 eventvwr.msc 直接进入“事件查看器”

图片

图片

03

事件日志分析

对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明:

事件ID     说明4624     登录成功4625     登录失败4634     注销成功4647     用户启动的注销4672     使用超级用户(如管理员)进行登录4720     创建用户每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:登录类型     描述     说明2     交互式登录(Interactive)     用户在本地进行登录。3     网络(Network)     最常见的情况就是连接到共享文件夹或共享打印机时。Window 安全事件(EVENT ID)查询表4     批处理(Batch)     通常表明某计划任务启动。5     服务(Service)     每种服务都被配置在某个特定的用户账号下运行。7     解锁(Unlock)     屏保解锁。8     网络明文(NetworkCleartext)     登录的密码在网络上是通过明文传输的,如FTP。9     新凭证(NewCredentials)     使用带/Netonly参数的RUNAS命令运行一个程序。10     远程交互,(RemoteInteractive)     通过终端服务、远程桌面或远程协助访问计算机。11     缓存交互(CachedInteractive)     以一个域用户登录而又没有域控制器可用

Window 安全事件(EVENT ID)查询表

Beret-Sec,公众号:贝雷帽SECWindow 安全事件(EVENT ID)查询表

04

使用powershell 日志分析

使用 powershell的 Get-EventLog 和 Get-WinEvent 命令进行日志获取分析。

1、Get-EventLog 从本地和远程计算机获取事件和事件日志。默认情况下, Get-EventLog 从本地计算机获取日志。

Get-EventLog 常用示例

Beret-Sec,公众号:贝雷帽SECWindow 日志分析——PowerShell命令

2、Get-WinEvent 从事件日志中获取事件,包括经典日志,例如系统和应用程序日志。cmdlet 从 Windows Vista 中引入的 Windows 事件日志技术生成的事件日志中获取数据,以及 Windows (ETW) 事件跟踪 生成的日志文件中的事件。默认情况下, Get-WinEvent 按最新到最旧的顺序返回事件信息。

Get-WinEvent 常用示例

Beret-Sec,公众号:贝雷帽SECWindow 日志分析——PowerShell命令2

05

使用日志分析工具

5.1 系统自带工具

使用系统自带查询工具进行分析可直接设置查询条件进行过滤或者使用手动编辑的方式进行查询。

图片

5.2 常用日志分析工具

1、LogParserLogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示。下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
使用语法:LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”登录成功的所有事件LogParser.exe -i:EVT –o:DATAGRID  'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip  FROM .\Security1.evtx where EventID=4624'指定登录时间范围的事件:LogParser.exe -i:EVT –o:DATAGRID  'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where TimeGenerated>'2021-04-25 00:00:01' and TimeGenerated<'2021-04-30 00:00:01' and EventID=4624'提取登录成功的用户名和IP:LogParser.exe -i:EVT  –o:DATAGRID  'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624'登录失败的所有事件:LogParser.exe -i:EVT –o:DATAGRID  'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4625'提取登录失败用户名进行聚合统计:LogParser.exe  -i:EVT 'SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM .\Security1.evtx where EventID=4625 GROUP BY Message'系统历史开关机记录:LogParser.exe -i:EVT –o:DATAGRID  'SELECT TimeGenerated,EventID,Message FROM .\System1.evtx where EventID=6005 or EventID=6006'更多使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

图片

2、LogParser Lizard

Log Parser Lizard是一款专业实用的日志分析软件。该款工具可以将日志查询结果导出Excel、图表、仪表板等格式,采用数据挖掘和多维分析技术分析出结果,内置表达式编辑器、过滤器编辑器、数据透视表、表格等工具,为您进行日志分析带来极大的便利。

下载链接:https://www.lizard-labs.com/log_parser_lizard_download.aspx

图片

3、Event Log Explorer

Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。

下载链接:https://event-log-explorer.en.softonic.com/

图片

4、Logfusion

LogFusion是一款功能强大的实时日志监控应用程序,专为系统管理员和开发人员设计!使用自定义突出显示规则、过滤等。您甚至可以在计算机之间同步LogFusion设置。

下载链接:https://www.logfusion.ca/Download/

图片

参考链接:https://zhuanlan.zhihu.com/p/385105096?utm_id=0               

图片

本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。