Windows应急响应 -Windows日志排查，系统日志，Web应用日志，_系统日志事件104自动删除日志(2)

应急时，我们通常只关注安全、系统、应用程序这三种日志，也就是上图中，红线框出来的三个，分别对应Logs目录下的Security.evtx，System.evtx，Application.evtx 文件。

• 系统日志：记录系统进程、设备磁盘活动等，比如系统进程的启动/停止/暂停，设备驱动无法正常启动或停止。
• 安全日志：记录安全性事件，比如用户登录/注销/权限变更，文件及文件夹访问等，是应急响应最常用的日志。
• 应用程序日志：记录系统安装的应用程序软件的运行日志。

Windows日志有五种事件类型，每条日志有且只有一种类型。

• 信息（Information）：应用程序、驱动程序或服务成功操作的事件。
• 警告（Warning）：可能会发生的问题，比如磁盘空间不足。
• 错误（Error）：功能和数据丢失。
• 成功审核（Success audit）：安全性日志，记录用户、策略、访问等事件，比如登录成功。
• 失败审核（Failure audit）：登录失败事件，比如用户访问网络驱动器失败。

三、筛选日志

右键系统或安全日志 - 【筛选当前日志】，根据事件ID（Event id）筛选日志，快速定位入侵事件。

右键系统或安全日志 - 【属性】，可以查看/修改日志路径和默认保存大小。

提示：每种日志默认保存20MB，超过时将会覆盖最早的记录，部分基线检查要求保留90天以上的系统日志，可以在这里按需配置。

四、事件ID

日志排查时，通常会根据事件ID搜索日志。

1、安全日志

用户登录事件：

• 4624：登录成功
• 4625：登录失败
• 4634：注销本地登录用户
• 4647：注销远程登录的用户
• 4648：使用显式凭证尝试登录
• 4672：新登录的用户被分配管理员权限

用户管理事件：

• 4720：新建用户
• 4722：启用新用户
• 4724：修改用户密码
• 4725：禁用用户
• 4726：删除用户
• 4731：创建用户组
• 4732：添加用户到用户组
• 4733：从组中删除用户
• 4734：删除用户组。
• 4735：安全组更改
• 4738：修改用户账户
• 4798：枚举本地用户组

1.1、登录类型

（4624）登录成功事件中包含登录类型，也就是用户登录的方式，这对排查很有帮助。

常见的登录类型有以下几种：

登录类型	描述	说明
2	交互式登录	本地登录
3	网络	连接到共享文件或共享打印机
4	批处理	计划任务启动
5	服务	每种服务都被配置在某个特定的账号下运行
7	解锁	屏保解锁
8	网络明文	FTP这类，登录的密码在网络上明文传输的方式
9	新凭证	使用/Netonly参数的RUNAS命令运行一个程序
10	远程交互	远程桌面等远程协助方式登录
11	缓存交互	使用域用户登录却没有域控制器可用

2、系统日志

• 104：日志被清除
• 1074：开机、关机、重启时间及原因
• 6005：日志服务启动，表示这天正常启动了系统

五、分析案例

通过筛选事件ID，可以大致推断出攻击类型。

例：筛选4625事件，发现某一段事件集中出现大量登录失败事件，可能受到了暴力破解。

例：筛选4647事件，发现一条4647事件，可能已经瘪远程登录提权，并事后注销了提权账号，需与用户确认。

例：筛选4724事件，发现一条4724事件，确认非用户本人操作，则可能是攻击者修改了不常用的用户密码企图维权。

六、Web应用日志

从Web应用日志中，可以分析攻击者在什么时间、使用哪个IP，访问了哪个网站。

1、IIS

IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。

日志文件由时间命名。

会记录请求IP、请求方法（Get/Post）、请求url、请求端口、浏览器UserAgent等。

2、Apache

Apache日志存放在<Apache安装路径>/apache/logs/ 目录，httpd.conf也可以配置日志存放位置

access_log/access.log日志记录成功的请求。
error_log/error.log日志记录失败的请求。

日志格式如下：

127.0.0.1 - - [08/Jun/2021:11:43:08 +0800] “GET /sqli-labs/index.html_files/freemind2html.css HTTP/1.1” 200 1335

字段解释：

• 远程主机IP：127.0.0.1
• 电子邮箱：-
• 登录名：-
• 请求时间：[08/Jun/2021:11:43:08 +0800]
• 请求类型：“GET /sqli-labs/index.html_files/freemind2html.css HTTP/1.1”
• 请求状态码：200
• 发送字节数：1335

3、Tomcat

Tomcat日志存放在<Tomcat安装路径>/logs 目录，也可以在Server.xml中配置日志存放位置。

<Valve className="org.apache.catalina.valves.AccessLogValve">
directory="logs" prefix="localhost_access_log."
suffix=".txt"
pattern="common" resolveHosts="false"/>

4、Nginx

access.log日志记录访问日志。
error.log日志记录错误日志。

5、WebLogic

WebLogic日志存放路径如下

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！