Windows日志

学习目标

1. Windows事件日志简介：存储位置、内容、查看方法。
2. Windows事件日志分析：开关机、登录、注销、连接网络、插U盘。
3. 安全审核：TCP、UDP。

一，Windows事件日志简介

Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志，可以监控用户对系统的使用情况，掌握计算机在特定时间发生了什么事件，此外也可以了解用户的各种操作行为。因此，它可以为调查提供很多关键信息。

二，打开事件查看器命令：eventvwr

Windows事件日志文件本质上是数据库，其中包括有关系统、安全、应用程序的记录

记录的事件包含9个元素：日期/时间、事件级别、用户、计算机、事件ID、来源、任务类别、描述、数据等信息。

三，Windows事件日志共有五种事件级别

所有的事件必须只能拥有其中的一种事件级别

1．信息（Information）
信息事件指应用程序、驱动程序或服务的成功操作的事件。
2．警告（Warning）
警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。
3．错误（Error）
错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。
4． 成功审核（Success audit）
成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件。
5．失败审核（Failure audit）
失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

四，Windows日志文件

从1993年的Windows NT3.1起，微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中，事件日志的文件名和文件存放位置一直保持不变，在Windows NT/Win2000/XP/Server 2003中， 日志文件的扩展名一直是evt，存储位置为“%systemroot%\System32\config”。

从Windows Vista和Server 2008开始，日志文件的文件名、结构和存储位置发生了巨大改变， 文件扩展名改为evtx (XML格式)，存储位置改为“%systemroot%\System32\WinEvt\logs”

ri
1、系统日志
记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据。

默认位置：
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:WINDOWS\system32\winevt\Logs\System.evtx

2.应用程序日志
包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件。

默认位置：
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Application.evtx

3.安全日志
记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认位置：
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Security.evtx。

1.安全日志：是渗透测试工作人员关注的重点
虽然几乎所有事件记录在调查过程中都或多或少带来帮助，但是大多数的调查取证中，安全日志中找到线索的可能性最大。
2.系统和应用程序日志存：储着故障排除信息，对于系统管理员更为有用。安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么，对于调查人员而言，更有帮助。

五，对常用安全事件的分析

1.用户登录与注销

■场景
.判断哪个用户尝试进行登录
.分析被控制的用户的使用情况
■事件ID
.4624登录成功
.4625登录失败
.4634/4647 一注销成功
.4672使用超级用户（如管理员）进行登录

2.追踪硬件变动

■场景
.分析哪些硬件设备什么时间安装到系统中
■事件ID
.20001 -即插即用驱动安装（System日志）
.20003-即插即用驱动安装（System日志）
.46636-移动设备访问成功（Securiy日志)
.4656 -移动设备访问失败（Security日志）

3.追踪WiFi信息

■场景
.分析连接到的WiFi属性
■事件ID
.10000-连接WiFi(networkprofile日志）
.10001-断开WiFi(networkprofile日志）

六，日志获取和分析工具

除了使用“事件日志查看器”外，我们也可以使用其他日志上具宣
询事件日志。以下列举了一些我们经常用到的日志获取和分析工具

.事件日志查看器
. Microsoft LogParser
. Log Parser Lizard

七，分析事件的方法—筛查

手动/脚本筛查

1.利用PowerShell 来自动筛选 Windows 事件日志

①Get-WinEvent强大但发杂

 Get-WinEvent 超级强大，但使用起来比较麻烦

Get-WinEvent -FilterHashtable @{Logname='system';Id='6006','6005'}

②Get- EventLog简单但一般

 Get- EventLog 使得起来相当简单，

Get-EventLog Security  -InstanceId  4624,4625

2.在powershell中对筛选出的Windows事件进一步处理

①用变量储存方便查看

$events=Get-EventLog Security  -InstanceId  4624,4625

例如

会发现有…显示不全–>用列表的形式
②用列表的形式查看全部信息

$events[2]|fl *

七，分析日志的思路

1.分析Windows登录类型

①登录类型

登录类型2交互式登录（Interactive）： 就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录。
登录类型3：网络（Network）： 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8。
登录类型4：批处理（Batch） ：当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。
登录类型5：服务（Service） ：与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新。
登录类型7：解锁（Unlock） ：很多公司都有这样的安全设置：当用户离开屏幕一段时间后，屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。
登录类型8：网络明文（NetworkCleartext） ：通常发生在IIS 的 ASP登录。不推荐。
登录类型9：新凭证（NewCredentials） ：通常发生在RunAS方式运行某程序时的登录验证。
登录类型10：远程交互（RemoteInteractive） ：通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。
登录类型11：缓存交互（CachedInteractive） :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下，Windows缓存了最近10次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。

②常见登录类型日志分析

1、本地交互式登录，也就是我们每天最常使用的登录方式。
首先是成功的登录，从日志分析来看至少会有2个事件发生，分别为ID4648、 4624。
审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登录
审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登录

失败登录会产生ID为4625的事件日志。
审核失败 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登录

2、使用RDP协议进行远程登录，这也是日常经常遇到的情况。
使用mstsc远程登录某个主机时，使用的帐户是管理员帐户的话，成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录， ID为4624，审核成功，登录类型为10（远程交互）。并且描述信息中的主机名（源工作站）仍为被尝试登录主机的主机名，而不是源主机名。
审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登录
审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登录
审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登录

使用不存在的用户名和错误密码分别登录失败，ID为4625，登录类型为10（远程交互）。审核失败，列出了登录失败的账户名和失败原因。

3、远程访问某台主机的共享资源，如某个共享文件夹。
首先是使用正确的用户名和密码访问远程共享主机，登录事件ID为4624， 登录类型为3（Network），审核成功。列出了源网络地址和端口。
审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登录

如果访问共享资源使用的帐户名、密码正确，但是该用户对指定的共享文件夹没有访问权限时仍然会有ID为4624的认证成功事件产生。
接下来的是事件ID为5140的文件共享日志，显示了访问的共享文件夹名称。
审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

使用不存在的用户名和错误密码分别登录失败，ID为4625，登录类型为3（网络）。审核失败，列出了登录失败的账户名和失败原因。

4、解锁登录
解锁登录和远程登录一样，成功的情况下会有ID为4648、4624、4672的事件产生。首先是成功登录， ID为4624，审核成功，登录类型为7（Unlock）。
审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登录
审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登录
审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登录

使用不存在的用户名和错误密码分别登录失败，ID为4625，登录类型为7（unlock）。审核失败，列出了登录失败的账户名和失败原因。。

最后我们总结一下“审计登录”事件：
· 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成4648事件。
· 成功的登录通常会有4624事件产生，在创建登录会话后在被访问的计算机上生成此事件。
· 如果用户有特权会有4672事件产生。
· 通常情况下只需关注登录类型为2、3、7、10类型的4625登录失败事件。

2.安全审核

操作系统带有日志功能，系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后，可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容，来分析、查找系统和应用程序故障以及各类安全事件，发现黑客的入侵和入侵后的行为。

 审核事件ID
审计目录服务访问
　　4934 - Active Directory 对象的属性被复制
　　4935 -复制失败开始
　　4936 -复制失败结束
　　5136 -目录服务对象已修改
　　5137 -目录服务对象已创建
　　5138 -目录服务对象已删除
　　5139 -目录服务对象已经移动
　　5141 -目录服务对象已删除
　　4932 -命名上下文的AD的副本同步已经开始
　　4933 -命名上下文的AD的副本同步已经结束
　　审计登录事件
　　4634 - 帐户被注销
　　4647 - 用户发起注销
　　4624 - 帐户已成功登录
　　4625 - 帐户登录失败
　　4648 - 试图使用明确的凭证登录
　　4675 - SID被过滤
　　4649 - 发现重放攻击
　　4778 -会话被重新连接到Window Station
　　4779 -会话断开连接到Window Station
　　4800 – 工作站被锁定
　　4801 - 工作站被解锁
　　4802 - 屏幕保护程序启用
　　4803 -屏幕保护程序被禁用
　　5378 所要求的凭证代表是政策所不允许的
　　5632 要求对无线网络进行验证
　　5633 要求对有线网络进行验证
　　审计对象访问
　　5140 - 网络共享对象被访问
　　4664 - 试图创建一个硬链接
　　4985 - 交易状态已经改变
　　5051 - 文件已被虚拟化
　　5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接
　　4698 -计划任务已创建
　　4699 -计划任务已删除
　　4700 -计划任务已启用
　　4701 -计划任务已停用
　　4702 -计划任务已更新
　　4657 -注册表值被修改
　　5039 -注册表项被虚拟化
　　4660 -对象已删除
　　4663 -试图访问一个对象
　　审计政策变化
　　4715 - 对象上的审计政策(SACL)已经更改
　　4719 - 系统审计政策已经更改
　　4902 - Per-user审核政策表已经创建
　　4906 - CrashOnAuditFail值已经变化
　　4907 - 对象的审计设置已经更改
　　4706 - 创建到域的新信任
　　4707 - 到域的信任已经删除
　　4713 - Kerberos政策已更改
　　4716 - 信任域信息已经修改
　　4717 - 系统安全访问授予帐户
　　4718 - 系统安全访问从帐户移除
　　4864 - 名字空间碰撞被删除
　　4865 - 信任森林信息条目已添加
　　4866 - 信任森林信息条目已删除
　　4867 - 信任森林信息条目已取消
　　4704 - 用户权限已分配
　　4705 - 用户权限已移除
　　4714 - 加密数据复原政策已取消
　　4944 - 当开启Windows Firewall时下列政策启用
　　4945 - 当开启Windows Firewall时列入一个规则
　　4946 - 对Windows防火墙例外列表进行了修改，添加规则
　　4947 - 对Windows防火墙例外列表进行了修改，规则已修改
　　4948 - 对Windows防火墙例外列表进行了修改，规则已删除
　　4949 - Windows防火墙设置已恢复到默认值
　　4950 - Windows防火墙设置已更改
　　4951 - 因为主要版本号码不被Windows防火墙承认，规则已被忽视
　　4952 - 因为主要版本号码不被Windows防火墙承认，部分规则已被忽视，将执行规则的其余部分
　　4953 - 因为Windows防火墙不能解析规则，规则被忽略
　　4954 - Windows防火墙组政策设置已经更改，将使用新设置
　　4956 - Windows防火墙已经更改主动资料
　　4957 - Windows防火墙不适用于以下规则
　　4958 - 因为该规则涉及的条目没有被配置，Windows防火墙将不适用以下规则：
　　6144 - 组策略对象中的安全政策已经成功运用
　　6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误
　　4670 - 对象的权限已更改
　　审计特权使用
　　4672 - 给新登录分配特权
　　4673 - 要求特权服务
　　4674 - 试图对特权对象尝试操作
　　审计系统事件
　　5024 - Windows防火墙服务已成功启动
　　5025 - Windows防火墙服务已经被停止
　　5027 - Windows防火墙服务无法从本地存储检索安全政策，该服务将继续执行目前的政策
　　5028 - Windows防火墙服务无法解析的新的安全政策，这项服务将继续执行目前的政策
　　5029 - Windows防火墙服务无法初始化的驱动程序，这项服务将继续执行目前的政策
　　5030 - Windows防火墙服务无法启动
　　5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
　　5033 - Windows防火墙驱动程序已成功启动
　　5034 - Windows防火墙驱动程序已经停止
　　5035 - Windows防火墙驱动程序未能启动
　　5037 - Windows防火墙驱动程序检测到关键运行错误，终止。
　　4608 -Windows正在启动
　　4609 - Windows正在关机
　　4616 - 系统时间被改变
　　4621 - 管理员从CrashOnAuditFail回收系统，非管理员的用户现在可以登录，有些审计活动可能没有被记录
　　4697 - 系统中安装服务器
　　4618 - 监测安全事件样式已经发生