hw应急面试——日志分析

最新推荐文章于 2024-04-18 11:30:00 发布
最新推荐文章于 2024-04-18 11:30:00 发布
阅读量505 收藏
点赞数
文章标签: windows web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZxC789456302/article/details/127060522
版权

windows系统:

在Windows 2000 专业版/Windows XP/Windows Server 2003(注意日志文件的后缀名是evt):
系统中:系统日志的位置为C:\WINDOWS\System32\config\SysEvent.evt;
​
安全性日志的位置为C:\WINDOWS\System32\config\SecEvent.evt;
​
应用程序日志的位置为C:\WINNT\System32\config\AppEvent.evt。
​
在Windows Vista/Windows 7/Windows 8/Windows 10/Windows Server2008及以上版本系统中:
系统日志的位置为%SystemRoot%\System32\Winevt\Logs\System.evtx;
​
安全性日志的位置为%SystemRoot%\System32\Winevt\Logs\Security.evtx;
​
应用程序日志的位置为%SystemRoot%\System32\Winevt\Logs\Application.evtx。
​

系统日志一般由各种驱动出现的重大问题,操作系统的多种组件在运行中出现的重大问题

安全性日志记录了各种安全相关的日志,如登录与退出系统的成功或不成功的信息

应用程序日志主要记录各种应用程序所产生的的各类事件

常用事件id

4624         成功登录
4625         失败登录
4776         成功/失败的账户认证
4720         创建用户
4732         添加用户到启用安全性的本地组中
4728         添加用户到启用安全性的全局组中
7030         服务创建错误
7040         IPSEC服务的启动类型已从禁用更改为自动启动
7045         服务创建

登录行为的数字代表登录类型

img

登录相关日志事件ID对应的描述(可以记一下,hw面试常问)

img

常用软件Log Parser的操作

使用举例:

查看登录成功的所有事件:

使用【LogParser.exe-i:EVT-o:DATAGRID"SELECT * FROM C:\Security.evtx where EventID=4624"】命令,可查看事件ID为4624,即登录成功的所有事件

指定登录时间范围的事件:

使用【LogParser.exe-i:EVT-o:DATAGRID"SELECT * FROM C:\Security.evtx where TimeGenerated>'2018-01-01 23:59:59' and TimeGenerated<'2019-06-01 23:59:59' andEventID=4625"】命令,

可查看从2018年1月1日23时59分59秒到2019年6月1日23时59分59秒,事件ID为4625,即登录失败的所有事件

白白白无
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HW防守之日志分析二1
08-03
Linux操作系统Linux的系统日志一般存放在/var/log目录下,常见的日志(列举部分)有以下:今天用于记录系统相关信息,如执行程序、系统错误、启动信息等
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 1780
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
蓝队必备技能——windows后门病毒应急响应
2301_80127209的博客
04-18 709
大家好 我是spider。今天出一期应急响应。hw在即你还是初级?学习一下子吧 兄弟,我给大家整实际案例上去本期木有太多废话 都是干活 直接上思路和步骤。
HW防守之日志分析一1
08-03
在当下的CTF大赛中,多以流量分析的形式出现,但是在个别比赛中依然会出现一题关于日志分析类的题目,一般的题目都是会让我们通过日志找线索,不会将flag写在日志
日志方面的面试
PerfectUrl的博客
10-22 1144
1.海量日志数据,提取出某日访问百度次数最多的那个IP 日志中的IP取出来,逐个写入到一个大文件中。注意到IP是32位的,最多有个2^32个IP。同样可以采用映射的方法,比如模1000,把整个大文件映射为1000个小文件,再找出每个小文中出现频率最大的IP(可以采用hash_map进行频率统计,然后再找出频率最大的几个)及相应的频率。然后再在这1000个最大的I...
日志分析zz
03-21 103
那道socket的面试题我说我不会,那公司又给我了另一道更加变态的题目: 日志分析 1)从文件 中用户 提取字符串(下面示例中包含在[]中的字符) 2)利用hash算法把所有的字符串散列 到一个hash表中,统计相同字符串出现的次数 3)编写一个排序算法(例如快速排序),把这些字符串按照出现的频率排序. 4) 把输出结果保存到一个文件,文件格式为: ...
面试题】如何从日志分析 PV、UV?
flyersboy的博客
06-16 856
很多时候,我们观察程序是否如期运⾏,或者是否有错误,最直接的⽅式就是看运⾏日志,当然要想从日志快速查到我们想要的信息,前提是程序打印的⽇志要精炼、精准。 但⽇志涵盖的信息远不⽌于此,⽐如对于 nginx 的 access.log ⽇志,我们可以根据⽇志信息分析⽤户⾏为。 什么⽤户⾏为呢?⽐如分析出哪个⻚⾯访问次数(PV)最多,访问⼈数(UV)最多,以及哪天访问量最 多,哪个请求访问最多等等。 用⼀个⼤概几万条记录的 nginx 日志⽂件作为案例,看看如何分析出「⽤户信息」。 一、预热 当我们要分析⽇志的时候
教程:15、系统日志日志分析
12-28 453
大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd,默认配置文件为 /etc/syslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。 Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息,这些信息对管理员了解系统的运行状态是非常有用的,所以应该把它们写到日志文件中去。完成这
微步hw面试6666666666666666
最新发布
07-08
个人面试的一些问题及其解答
2023年HW蓝队面试
04-26
作为一个新手小白,主要做的就是坚守岗位,监测与甲方合作的安全厂商的一些监测设备,进行日志分析、IP封堵等,其实这些都没有什么技术含量,懂web安全和渗透测试基础的基本一看就会熟悉了,当然,部分厂商会对自己...
2023HW蓝队面试题汇总
04-26
1.设备误报如何处理? 1.来自外网的误报说明安全设备需要进行策略升级,不需要处置。 2.如果是来自内网的误报可以和负责人协商一下看能不能解决。 2.如何区分扫描流量和手工流量? 扫描流量数据量大,请求流量有规律...
2021银联中级HW题目详解,蜜罐搭建测试,应急响应.docx
08-19
2021银联中级HW题目详解,蜜罐搭建测试,应急响应
WINDOWS日志事项ID
04-30
说明文档: WINDOWS日志事项ID中文解析
Log4j.properties配置详解
千里之行,始于足下
01-10 641
一、Log4j简介 Log4j有三个主要的组件:Loggers(记录器),Appenders (输出源)和Layouts(布局)。这里可简单理解为日志类别,日志要输出的地方和日志以何种形式输出。综合使用这三个组件可以轻松地记录信息的类型和级别,并可以在运行时控制日志输出的样式和位置。 1、Loggers Loggers组件在此系统中被分为五个级别:DEBUG、INFO、WARN、ERROR和
运维利器:WEB日志分析场景介绍
xnxqwzy的博客
08-09 607
一般可以按照两种思路展开,逐步深入,还原整个攻击过程。第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。第二种:攻击者在入侵网站后,通常会留下后门权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。曾经有人问过运维的人员的大神,该如何分析日志?大神回答了三个字:“用命令”。因为站在脚本操作经验丰富的人角度来看,的确用命令足矣,可是对于一般的人员来说用Linux的shell命令还是稍显复杂。还是需要借助一些工具来提高效率。
网络安全类面试题整理1
热门推荐
jaivy的博客
09-20 2万+
面试题整理   如何查找网页漏洞? 网页的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞等等。针对这么多的漏洞威胁,网站管理员要对自己的网站进行安全 检测,然后进行安全设置或者代码改写。那如何来检测网站存在的漏洞呢?其实,很多攻击者都是通过一些黑客工具来检测网站的漏洞然后实施攻击的。那么网站的 管理员就可以利用这些工具对网站进行安全检测,看有没有上述漏洞,笔者就不一一
Windows日志分析(中)
weixin_43200882的博客
10-24 2603
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。 ​ 多年来,微软不断提高其审计设施的效率和有效性。 现代 Windows 系统可以以最小的系统影响记录大量信息。 ​
HW防守 | Windows应急响应基础
艾欧尼亚归我了
06-03 2624
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 入侵排查思路 web入侵:对中间价日志进行分析 系统入侵:计划任务,系统爆破痕迹(系统日志),进程进行分析 网络攻击:流量分析 1、 检查系统账号安全 查看服务器是否有弱口令,远程管理端口是否对公网开放 检查方法:查看网络连接对应的进程 Netstat -anb | findstr 进程 查看日志:...
护网面试总结
shayebudon的博客
04-20 8665
怎么确定一个网站是不是站库分离 (1)查询web服务器名 LENOVO-GH*****—select @@servername; (2)查询数据库服务器名 DESKTOP-1HV****—select host_name(); 对比两个查询结果,即可判断。相同则同站同库,不同就是站库分离 知道那些防火墙设备 常见的 HW 设备有:公安部网防G01、K01、360网康/网神防火墙、微步威胁情报、安恒云-Web应用防火墙(玄武盾)、默安蜜罐、知道创宇蜜罐、山石防火墙 NGAF/NGFW:下一代 Web 应用防火
网络安全事件应急演练指南
06-15
"该文档是《网络安全事件应急演练指南》,主要针对HW公司,包含了演练的模板、剧本和流程,旨在提升网络安全应急响应能力。" 网络安全事件应急演练是确保组织在面临网络安全威胁时能够快速、有效地应对的重要手段。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值