Window日志分析
大家好,又见面了,我是你们的朋友全栈君。
0x01 基本设置
A、Windows审核策略设置
前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
打开设置窗口
Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图1所示;
Windows Server 2003:开始 → 运行 → 输入 gpedit.msc 回车 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。
各项策略可按如下设置:
B、查看Windows的系统操作记录日志的方法:
1、开始 → 管理工具 → 事件查看器
2、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。
C、如何筛选
如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败
D、事件ID及常见场景
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。
4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录
例如:
1、管理员登录
使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672的事件产生。
2、执行系统命令
Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子:
进程创建 C:\Windows\System32\cmd.exe
进程创建 C:\Windows\System32\ipconfig.exe
进程终止 C:\Windows\System32\ipconfig.exe
3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?
net user USER PASSWORD /add
net localgroup administrators USER /add
0x02 日志分析工具
A、Log Parser
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
Log Parser 2.2下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
分析案例:
管理员登录时间和登录用户名
C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT TimeGenerated
as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where Eve ntID=4624"
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\11.evtx where TimeGenerated>’2018-06-19 23:32:11′ and TimeGenerated<‘2018-06-20 23:34:00’ and EventID=4624”
RDP爆破使用的用户名及爆破次数:
C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT EXTRACT_TOKE
N(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) FROM c:\11.evtx w here EventID=4625 GROUP BY Message" user COUNT(ALL EXTRACT_TOKEN(Message, 19, ' '))
创建的进程过程:
LogParser.exe -i:EVT –o:DATAGRID “SELECT TimeGenerated as Creationtime,EXTRACT_TOKEN(Strings,5,’|’) as Process FROM c:\11.evtx where EventID=4688
参考链接:
取证实战:Windows日志分析
http://m.sohu.com/a/148102374_505860/?pvid=000115_3w_a
Winserver 2008事件日志-事件ID详解
https://blog.csdn.net/Jason_WangYing/article/details/62418008
常见登录类型日志分析
https://blog.csdn.net/zhulinu/article/details/52747984
Windows 7和Windows Server 2008 R2 安全事件的说明
https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008
windows安全日志分析工具logparser用法详解
https://www.jb51.net/hack/384430.html
https://wenku.baidu.com/view/e86ad976e009581b6bd9ebcf.html
Powershell日志分析
https://www.t00ls.net/articles-50631.html
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/155626.html原文链接:https://javaforall.cn
相关文章
- 分布式 | 从 dble 日志分析到 MySQL 源码学习
- Golang语言 Gin框架环境配置、报错处理、接口调用、配置和日志管理|Go主题月
- oracle通过RMAN清理断档归档日志
- Linux系列之使用sed命令来排查日志
- 【日志审计】极易上手搭建自己日志采集服务器分析日志(winlogbeat+Elasticsearch+Kibana)
- 【CLS数据淘金第四期】网络流日志-云联网日志分析
- MySQL二进制日志截取和恢复
- Nginx日志分析工具goaccess
- 【CLS数据淘金第五期】 云产品 CLB 日志抽样,独家发布
- ChatGPT教你python日志记录
- linux日志根据时间截取详解程序员
- MySQL 各类日志文件介绍详解数据库
- 使用 mtools 搭架 mongodb 的自动化日志分析平台详解大数据
- 分析【分析Oracle数据库日志的有效方法】(oracle日志)
- 深入体验Linux系统访问日志追溯时刻(linux系统访问日志)
- 清理Linux 系统日志,精简优化运行状态(linux清理日志)
- MySQL日志分析:利用分类工具提升效率(mysql日志分类)
- 分析Oracle服务日志细节分析(oracle服务日志)
- Oracle服务器每日日志监控及分析(oracle服务日志)
- Apache日志实时分析工具:ARTLAS
- 「深入解析Oracle日志文件的方法和技巧」(oracle日志文件分析)
- 分析Linux Nginx日志分析指南(linuxnginx日志)
- 利用Oracle事务日志解决问题(oracle事务日志分析)
- Redis错误日志细探究与分析(redis错误日志分析)
- 简单高效:用Swatch做Linux日志分析