[Windows服务器] Windows日志

日志

重点：

​ Windows server日志的位置

​ 日志分析的思路（*）

​ 掌握使用时间查看器与其他工具

日志分析思路：

​ 查看哪些主机的日志（筛选对象）–> 在哪里查看（取样）–> 怎么查看（研判分析） --> 做好记录、保留关键截图 --> 上报并处置事件闭环

研判分析 导出来在自己的电脑上看，不破坏现场

做好记录，打开录屏

上报并写出报告，如何处置情况，给出整改建议

采集日志样本：

​ 1.Windows服务器系统的审核功能必须得是启用的，并且配置好审计策略的，一旦系统出现故障、安全事故才可以查看得到系统的日志文件，有助于排出故障，追查入侵者的信息等

​ 2.日志得提前做好定期备份，最好是全量异地备份，往往入侵者也不是傻子，一般会”毁尸灭迹“或者更高明的”移花接木“篡改日志内容（这个时候可以给客户说说日志的重要性以及进行保护的必要性）

​ 3.做好日志文件的访问控制，权限控制。尽最大化的防护手段避免日志被删除和被篡改的风险

一般我们主要查看的三类日志：

​1.应用安全日志 包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件

默认存放路径：%SystemRoot%\System32\Winevt\Logs\Application.evtx

​2.安全日志（*）
记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程、跟踪日志、特权使用、账号管理、策略变更、系统事件。这个日志一般是安全工程师重点关注对象

​ 默认存放路径：%SystemRoot%\System32\Winevt\Logs\Security.evtx

​3.系统日志

相关问题

1.暴力破解帐密日志

攻击者通过暴力破解的方式入侵系统，不论是否成功，在日志中会留下入侵痕迹，所以事件id为4624和4625的事件是首当其冲的关注点。需要留意日志中的SubjectUserNameIpAddress

2.账号管理日志

Windows中日志中与账号创建有关的事件ID：4720、4722、4724、4738。攻击者攻陷一台Windows主机后，可能会创建后门账号、隐藏账号

3.新增aaaa$后门账号

发现攻击者创建了后门账号。据此时间点可确定在这之前使用某手段或利用某漏洞获取服务器权限，可进一步在其他安全设备上查找改时间点前针对失陷服务器的的攻击警告使劲按确定攻击方式。

4.远程桌面登录日志

上述的安全日志很可能被覆盖掉，为尽量不遗漏入侵痕迹，可进一步查看远程桌面的登录日志。攻击者建立后门账号后会通过远程桌面连接到失陷主机上，此时的登录行为会1记录到远程桌面日志。

远程桌面日志（应用程序和服务日志->Microsoft->Windows->-TerminalServices->RemoteConnectionManager->Operational）
重要事件ID及含义：

1149：用户认证成功

21：远程桌面服务：会话登录成功

24：远程桌面服务：会话已断开连接

25：远程桌面服务：会话重新连接成功