【Windows取证篇】Window日志分析基础知识(一)

最新推荐文章于 2024-06-01 20:18:48 发布
最新推荐文章于 2024-06-01 20:18:48 发布
阅读量3.9k 收藏 41
点赞数 22
分类专栏: 计算机取证 # Windows取证 电子取证 文章标签: windows 电子取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/135660187
版权
本文详细介绍了Windows11中日志查看的方法,包括系统、安全和应用程序日志的记录类型、数据大小限制、储存位置以及导出选项。重点讲解了如何在事件查看器中进行操作和分析取证工作。
摘要由CSDN通过智能技术生成

【Windows取证篇】Window日志分析基础知识(一)

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

目录

1、实验环境

(一)Windows日志基础

1、Windows日志查看方法

2、Windows日志记录类型

3、Windows日志数据大小

4、Windows日志储存位置

5、Windows日志导出类型

1、实验环境

Windows 11 专业工作站版,[v23H2(22631.2506)]

(一)Windows日志基础

1、Windows日志查看方法

【路径:事件查看器->Windows日志】

1)搜索框直接搜索"事件查看器"打开。

2)快捷键"Window+R"运行输入"eventvwr"或"eventvwr.msc"可打开"事件查看器"界面。

图片

2、Windows日志记录类型

通过系统自带的事件查看器可查看Windows日志文件每个记录事件的数据结构一般包含9个元素:来源(S)、记录时间(D)、事件ID(E)、任务类别(Y)、级别(L)、关键字(K)、用户(U)、计算机®、操作代码(O)

图片

3、Windows日志数据大小

Windows系统内置"System(系统)、Security(安全)、Application(应用、程序)"的三个核心日志文件默认大小均为**20480KB(约20MB),当日志文件数据记录超过20MB时会覆盖掉过期的日志记录;其他的应用程序以及服务日志默认大小均为1028KB**(约1MB),默认超过这个大小同样按需要覆盖事件(旧事件优先覆盖)。

【路径:事件查看器->Windows日志->应用程序->属性】

图片

点击即可查看到应用程序日志属性默认的设置参数,即日志路径、创建时间、修改时间、访问时间、日志最大大小、达到事件日志覆盖阀值等操作等。

图片

4、Windows日志储存位置

%SystemRoot%\System32\winevt\Logs

%SystemRoot%:指代操作系统的"系统目录"或者"根目录",默认系统安装是在C盘;可以通过输入cmd命令"echo %systemroot%“查看,win7之后一般是**”C:\Windows"**。

【Windows 2000 / Server2003 / Windows XP安全日志默认位置:C:\WINDOWS\System32\config\SecEvent.Evt】

名称

说明

系统日志(System.evtx)

系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。

应用程序日志(Application.evtx)

应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。

安全日志(Security.etvx)

安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。

图片

所以Windows11的Windows日志默认存放位置为【C:\Windows\System32\winevt\Logs】

图片

5、Windows日志导出类型

Windows日志导出/保存类型有"evtx、xml、txt、csv"四种,默认存储evtx格式,可以选择全部导出或者单条日志文件导出。

图片

支持保存的类型。

图片

总结

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词【日志分析】自动获取资源合集,如链接失效请留言,便于及时更新。

【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】

【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】

记录
开始编辑:2023年 11月 13日
开始编辑:2024年 01月 17日

【往期精彩回顾】

图片

▲ 【电子取证篇】蘇小沐的电子取证工具合集在线文档

图片

▲ 【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈

图片

▲ 【电子取证篇】WinHex入门教程合集,看这一篇就够了题

图片

▲ 【电子取证篇】FTK Imager取证教程合集,看这一篇也够了(附下载)

在这里插入图片描述

DFIR蘇小沐
关注
  • 22
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应基础(三)——Windows日志分析
橘子女侠
11-23 9150
Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 Windows系统组件产生的事件,主要包括...
取证工具-windows日志全部自动清除工具
04-18
总结来说,“Windows日志全部自动清除工具”是反取证技术的一种体现,它能有效地帮助用户清除可能暴露敏感信息的日志记录,但也需要谨慎使用,以防止滥用导致的法律风险。在日常使用计算机的过程中,平衡隐私保护与...
Web服务器日志取证分析方法
12-25
Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
磁盘取证日志分析.rar
02-05
磁盘取证日志分析
【30天精通Prometheus:一站式监控实战指南】第12天:windows_exporter从入门到实战:安装、配置详解与生产环境搭建指南,超详细
最新发布
大唐有趣的小胡.
06-01 1500
文章详细介绍了如何安装windows_exporter,包括从官网下载、选择适合版本并运行。接下来,深入探讨了windows_exporter的指标和配置,特别是其Collectors及exe文件的参数详解。最后,文章提供了生产环境搭建指南,指导读者如何创建配置文件、将windows_exporter集成到Prometheus中,并启动服务,最后验证服务的正常启动。
取证分析之日志分析.zip
02-05
取证分析之日志分析
Windows日志】记录系统事件的日志
Innocence_0的博客
01-23 2577
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows系统日志
weixin_53696027的博客
01-11 6989
关于Windows日志简单解释和分析,以及日志分析工具的简单使用
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 7600
日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
Windows应急响应 -Windows日志排查,系统日志,Web应用日志,
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
Windows日志分析
weixin_56233402的博客
04-22 3489
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
 计算机取证日志分析技术综述
01-30
 日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志...本文分析了日志文件及日志分析在计算机取证中的重要作用,综述了日志分析的基本方法和关联分析方法,指出日志分析技术的发展方向。
基于Windows日志的电子证据获取与分析方法研究
01-15
在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,大大减少了日志文件分析的时间。提出了一种基于时间的日志关联分析和事件重构方法,实现对...
Windows DFIR数字取证与事件响应
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全事件。DFIR流程通常包括以下几个关键步骤: 1. **准备阶段**: - 建立和训练一个专业的应急响应团队。 - 制定和维护应急...
基于Python入侵检测,取证window日志系统框架 html + css + jquery + python 3.9
10-23
基于Python入侵检测,取证window日志系统 框架 html + css + jquery + python 3.9 + flask + mysql set global sql_safe_updates=0; VMware win10_en 测试机。 实时监控计算机日志,如果发生以下行为取证规则,...
应急响应实战笔记——日志分析:① Windows 日志分析
君逍遥o
03-27 2745
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Windows日志与监控
Kali与编程
01-31 1162
同时,用户需要定期更新系统和应用程序补丁,安装和使用安全软件,定期备份系统和重要数据,限制用户权限,建立网络安全策略等措施,以提高系统的安全性。在分析日志数据时,用户可以使用Windows系统自带的分析工具,如事件查看器、性能监视器、追踪工具、资源监视器等,并根据问题类型和日志内容进行分析和解决。总之,保障Windows系统的安全需要用户采取多种措施,包括监控和响应Windows安全事件、更新系统和应用程序补丁、安装和使用安全软件、定期备份系统和重要数据、限制用户权限、建立网络安全策略等。
Window日志分析
weixin_45116657的博客
10-28 1799
一、Windows事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时...
windows单机取证软件使用
11-08
很抱歉,根据您提供的引用内容,无法直接回答关于Windows单机取证软件的使用。但是,我可以为您提供一些关于Windows取证的基本知识和一些常用的Windows取证工具。 Windows取证是指在Windows操作系统上进行的取证活动,目的是收集和分析与计算机相关的数字证据。Windows取证通常包括收集和分析文件系统、注册表、网络连接、进程和服务等信息。以下是一些常用的Windows取证工具: 1. EnCase:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。 2. FTK Imager:一款免费的取证工具,可用于收集和分析Windows系统中的数字证据。 3. Autopsy:一款开源取证工具,可用于收集和分析Windows系统中的数字证据。 4. ProDiscover:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。 5. X-Ways Forensics:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值