应急响应篇-Windows 日志分析

最新推荐文章于 2024-07-19 16:20:17 发布
最新推荐文章于 2024-07-19 16:20:17 发布
阅读量291 收藏 1
点赞数 1
分类专栏: 应急响应 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cavathon/article/details/136964200
版权

Windows系统中,日志包括:系统日志、安全性日志及应用程序日志。
在Windows Server 2003之前日志的位置为:
系统日志:C:\WINDOWS\System32\config\SysEvent.evt
安全性日志:C:\WINDOWS\System32\config\SecEvent.evt
应用程序日志:C:\WINDOWS\System32\config\AppEvent.evt
在Windows Vista以上的版本中
系统日志为:%SystemRoot\System32\Winevt\Logs\System.evtx
安全性日志为:%SystemRoot\System32\Winevt\Logs\Security.evtx
应用程序日志为:%SystemRoot\System32\Winevt\Logs\Application.evtx
除此之外,在Windows Vista以上的版本中还存在其他日志,这些日志存储在
%SystemRoot%\System32\Winevt\Logs

运行窗口中输入eventvwr打开事件查看器,查看相关的日志
请添加图片描述

系统日志

安全性日志

应用程序日志

日志常用ID
事件ID (旧版本)事件ID (新版本)描述事件日志
5284624成功的用户登录事件安全性日志
5294625登录失败的用户尝试事件安全性日志
6804776帐户已被成功验证事件安全性日志
6244720帐户被创建事件安全性日志
6364732添加用户到启用安全性的本地组中安全性日志
6324728添加用户到启用安全性的全局组中安全性日志
日志分析

通过内置筛选器进行筛选
请添加图片描述

通过第三方工具进行分析
请添加图片描述

yueyaf
关注
专栏目录
42-5 应急响应日志分析
weixin_43263566的博客
05-26 110
系统日志的位置为 C:\WINDOWS\System32\config\SysEvent.evt安全性日志的位置为 C:\WINDOWS\System32\config\SecEvent.evt应用程序日志的位置为 C:\WINNT\System32\config\AppEvent.evt系统日志的位置为 %SystemRoot%\System32\Winevt\Logs\System.evtx。
应急响应应急响应日志排查方法,Windows
大河之犬的博客
05-18 1150
这些事件一般可以分为:系统中各种驱动程序在运行中出现的重大问题、操作系统的多种组件在运行中出现的重大问题及应用软件在运行中出现的重大问题等。:Log Parser 是微软公司推出的日志分析工具,其功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory 等。】是从传统的事件日志(如系统日志和应用程序日志)和新 Windows 事件日志技术生成的事件日志中获取事件。】只获取传统的事件日志,而【
应急响应实战笔记——日志分析:① Windows 日志分析
君逍遥o
03-27 3357
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
攻防演练蓝队|Windows应急响应入侵排查
Y525698136的博客
02-16 1047
攻防演练蓝队|Windows应急响应入侵排查
应急响应-windows-日志分析
qq_50765147的博客
01-26 1109
日志概述在windows系统中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握,其位置如下。
windows日志分析-Log Parser等工具使用
李安北的博客
05-24 9870
Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx 包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。 安全日志:%SystemRoot%\Syste
应急响应应急响应日志排查方法,Linux
大河之犬的博客
05-18 1033
目录下,有 catalina.out、catalina.YYYY-MM- DD.log、localhost.YYYY-MM-DD.log、localhost_access_log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log 等几类日志。除了可对 Windows 和 Linux 系统日志进行分析,还可对 Web 日志、中间件日志、数据库日志、FTP 日志等进行分析。在默认情况下,WebLogic 有三种日志,分别是。
应急响应Windows应急响应手册(勒索病毒
最新发布
做自己喜欢的事,并将其发挥到极致!
07-19 155
内容围绕勒索病毒事件进行分析,通过使用技术手段来确定勒索病毒家族并寻找解密方法,实战中过程中可参考文中部分内容提供一些帮助!
Windows应急响应
m0_67401055的博客
05-15 3086
转载至奇安信攻防社区-Windows应急响应 Windows应急响应主要以windows应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本主要以windows应急响应的基础技术手段进行介绍。 二、技术分析 1、准备工作 在
43-1 应急响应 - Windows入侵排查实验
weixin_43263566的博客
05-27 424
1)我这里使用CS随便生成一个木马,然后复制到windows虚拟机中运行2)然后在windows靶机中给这个木马文件设置计划任务,设置教程随便百度都能找到,这里就不说了。
Windows 入侵痕迹清理
热门推荐
09-08 4万+
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。 01、Windows日志清除 windows 日志路径: 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志:%SystemRoot%\System32\Winevt...
Window日志分析
子曰小玖的博客
11-07 2412
0x01 Window事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统...
入侵痕迹清理
st3pby的博客
06-18 2721
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。在授权攻防演练中,攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。在蓝队的溯源中,攻击者的攻击路径都将记录在日志中,所遗留的工具也会被蓝队进行分析,在工具中可以查找特征,红队自研工具更容易留下蛛丝马迹。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉,以防被溯源在演练中失分。Windows日志路径: 常见
Windows日志分析
weixin_56233402的博客
04-22 4328
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
查看evt文件( windows 日志文件 )
ph11204的专栏
03-14 6262
查看evt文件 如:C:\WINDOWS\system32\config中各种日志文件: 打开开始菜单->运行,输入Eventvwr.msc或开始->控制面版->管理工具->事件查看器,然后点操作,找到*.evt文件打开即可。 打开的时候需要选择日志类型,比如系统日志或安全日志。 为了方便,也可以保存为TXT格式,这样以后就可以用记事本直接查看了。方法是:点击操作,选择
【网络资源学习笔记】Windows日志分析
天在等我,菜鸟想飞
06-27 1160
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
服务器日志清理及IIS日志的清理
weixin_33670786的博客
08-20 499
首先介绍下日志的默认位置,只有我们知道了我们在服务器上留下的痕迹,才能擦除我们在计算机中留下的痕迹,而日志就是我们留下痕迹的位置所在.安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt应用程序日志文件:C:\WINDOWS\system32\c...
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
Windows系统日志
weixin_53696027的博客
01-11 7476
关于Windows日志简单解释和分析,以及日志分析工具的简单使用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值