【Windows取证篇】Window日志分析基础知识(一)

最新推荐文章于 2024-06-01 20:18:48 发布
最新推荐文章于 2024-06-01 20:18:48 发布
阅读量3.9k 收藏 41
点赞数 22
分类专栏: 计算机取证 # Windows取证 电子取证 文章标签: windows 电子取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/135660187
版权
本文详细介绍了Windows11中日志查看的方法,包括系统、安全和应用程序日志的记录类型、数据大小限制、储存位置以及导出选项。重点讲解了如何在事件查看器中进行操作和分析取证工作。
摘要由CSDN通过智能技术生成

【Windows取证篇】Window日志分析基础知识(一)

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

目录

1、实验环境

(一)Windows日志基础

1、Windows日志查看方法

2、Windows日志记录类型

3、Windows日志数据大小

4、Windows日志储存位置

5、Windows日志导出类型

1、实验环境

Windows 11 专业工作站版,[v23H2(22631.2506)]

(一)Windows日志基础

1、Windows日志查看方法

【路径:事件查看器->Windows日志】

1)搜索框直接搜索"事件查看器"打开。

2)快捷键"Window+R"运行输入"eventvwr"或"eventvwr.msc"可打开"事件查看器"界面。

图片

2、Windows日志记录类型

通过系统自带的事件查看器可查看Windows日志文件每个记录事件的数据结构一般包含9个元素:来源(S)、记录时间(D)、事件ID(E)、任务类别(Y)、级别(L)、关键字(K)、用户(U)、计算机®、操作代码(O)

图片

3、Windows日志数据大小

Windows系统内置"System(系统)、Security(安全)、Application(应用、程序)"的三个核心日志文件默认大小均为**20480KB(约20MB),当日志文件数据记录超过20MB时会覆盖掉过期的日志记录;其他的应用程序以及服务日志默认大小均为1028KB**(约1MB),默认超过这个大小同样按需要覆盖事件(旧事件优先覆盖)。

【路径:事件查看器->Windows日志->应用程序->属性】

图片

点击即可查看到应用程序日志属性默认的设置参数,即日志路径、创建时间、修改时间、访问时间、日志最大大小、达到事件日志覆盖阀值等操作等。

图片

4、Windows日志储存位置

%SystemRoot%\System32\winevt\Logs

%SystemRoot%:指代操作系统的"系统目录"或者"根目录",默认系统安装是在C盘;可以通过输入cmd命令"echo %systemroot%“查看,win7之后一般是**”C:\Windows"**。

【Windows 2000 / Server2003 / Windows XP安全日志默认位置:C:\WINDOWS\System32\config\SecEvent.Evt】

名称

说明

系统日志(System.evtx)

系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。

应用程序日志(Application.evtx)

应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。

安全日志(Security.etvx)

安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。

图片

所以Windows11的Windows日志默认存放位置为【C:\Windows\System32\winevt\Logs】

图片

5、Windows日志导出类型

Windows日志导出/保存类型有"evtx、xml、txt、csv"四种,默认存储evtx格式,可以选择全部导出或者单条日志文件导出。

图片

支持保存的类型。

图片

总结

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词【日志分析】自动获取资源合集,如链接失效请留言,便于及时更新。

【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】

【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】

记录
开始编辑:2023年 11月 13日
开始编辑:2024年 01月 17日

【往期精彩回顾】

图片

▲ 【电子取证篇】蘇小沐的电子取证工具合集在线文档

图片

▲ 【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈

图片

▲ 【电子取证篇】WinHex入门教程合集,看这一篇就够了题

图片

▲ 【电子取证篇】FTK Imager取证教程合集,看这一篇也够了(附下载)

在这里插入图片描述

DFIR蘇小沐
关注
  • 22
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应基础(三)——Windows日志分析
橘子女侠
11-23 9144
Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 Windows系统组件产生的事件,主要包括...
取证工具-windows日志全部自动清除工具
04-18
总结来说,“Windows日志全部自动清除工具”是反取证技术的一种体现,它能有效地帮助用户清除可能暴露敏感信息的日志记录,但也需要谨慎使用,以防止滥用导致的法律风险。在日常使用计算机的过程中,平衡隐私保护与...
Web服务器日志取证分析方法
12-25
Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
磁盘取证日志分析.rar
02-05
磁盘取证日志分析
【30天精通Prometheus:一站式监控实战指南】第12天:windows_exporter从入门到实战:安装、配置详解与生产环境搭建指南,超详细
最新发布
大唐有趣的小胡.
06-01 1483
文章详细介绍了如何安装windows_exporter,包括从官网下载、选择适合版本并运行。接下来,深入探讨了windows_exporter的指标和配置,特别是其Collectors及exe文件的参数详解。最后,文章提供了生产环境搭建指南,指导读者如何创建配置文件、将windows_exporter集成到Prometheus中,并启动服务,最后验证服务的正常启动。
取证分析之日志分析.zip
02-05
取证分析之日志分析
Windows日志】记录系统事件的日志
Innocence_0的博客
01-23 2554
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows/Linux日志分析
m0_49025459的博客
01-06 1883
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入事件ID即可。
Windows 应急响应辅助笔记
VVzv的博客
10-09 1990
以下主要为一些Windows应急的排查方法,对于处置应急不要过于盲目无目的排查,如清楚入侵原因,可基于入侵行为来做于排查,比如服务器存在WebShell,那么排查着重点就应该放在网站根目录下可疑文件的排查(比如从文件创建时间来进行筛选),当然,如果要看攻击者入侵后做了什么事情,或者取证,可能就需要较为全面的分析。
Windows取证实验
qq_63855830的博客
03-26 2072
Windows取证实验
windows日志审计
05-17 9878
简介 运行 eventvwr 命令,打开事件查看器,查windows 日志,分析windows 日志时,主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。 Windows日志 分析windows日志,查看rdp、ipc等各种登录验证情况时主要分析的内容之一,下面图标中的内容是windows 日志中登录类型以及事件ID的代表含义代表的含义。 登录类型中较为重要的是网络、网络明文、以及远程交互三种类型,网络最常见的情况就是连接到共享文件夹(IPC)或共享打印机
Win 运维 | Windows Server 系统事件日志浅析与日志审计实践
WeiyiGeek 唯一极客IT知识分享
04-16 1712
首先,由于企业网络安全等级保护要求以及安全运维工作的需求,企业安全运维人员需要了解企业内各业务系统的安全事件,以便及时发现并处理安全事件。当下在企业中仍有占有一定量的业务运行在 Windows Server 操作系统中,因此了解 Windows 事件日志对于企业安全运维人员来说是十分必要的。
 计算机取证日志分析技术综述
01-30
 日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志...本文分析了日志文件及日志分析在计算机取证中的重要作用,综述了日志分析的基本方法和关联分析方法,指出日志分析技术的发展方向。
基于Windows日志的电子证据获取与分析方法研究
01-15
在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,大大减少了日志文件分析的时间。提出了一种基于时间的日志关联分析和事件重构方法,实现对...
Windows日志与监控
Kali与编程
01-31 1157
同时,用户需要定期更新系统和应用程序补丁,安装和使用安全软件,定期备份系统和重要数据,限制用户权限,建立网络安全策略等措施,以提高系统的安全性。在分析日志数据时,用户可以使用Windows系统自带的分析工具,如事件查看器、性能监视器、追踪工具、资源监视器等,并根据问题类型和日志内容进行分析和解决。总之,保障Windows系统的安全需要用户采取多种措施,包括监控和响应Windows安全事件、更新系统和应用程序补丁、安装和使用安全软件、定期备份系统和重要数据、限制用户权限、建立网络安全策略等。
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 7592
日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
Windows应急响应 -Windows日志排查,系统日志,Web应用日志,
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
系统日志分析
来日可期的博客
12-12 2082
日志分析是指对系统、应用程序或网络设备生成的日志进行收集、解析和分析的过程。通过对日志数据进行分析,可以获得有关系统运行状态、故障排查、性能优化、安全审计等方面的有用信息。
windows单机取证软件使用
11-08
很抱歉,根据您提供的引用内容,无法直接回答关于Windows单机取证软件的使用。但是,我可以为您提供一些关于Windows取证的基本知识和一些常用的Windows取证工具。 Windows取证是指在Windows操作系统上进行的取证活动,目的是收集和分析与计算机相关的数字证据。Windows取证通常包括收集和分析文件系统、注册表、网络连接、进程和服务等信息。以下是一些常用的Windows取证工具: 1. EnCase:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。 2. FTK Imager:一款免费的取证工具,可用于收集和分析Windows系统中的数字证据。 3. Autopsy:一款开源取证工具,可用于收集和分析Windows系统中的数字证据。 4. ProDiscover:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。 5. X-Ways Forensics:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值