windows主机日志分析(持续更新)

已于 2022-07-22 11:16:21 修改
阅读量10w+ 收藏 3
点赞数
分类专栏: 主机安全 网络安全 SIEM 文章标签: 系统安全 网络安全 windows 安全
于 2022-07-20 17:11:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/125894670
版权
网络安全 同时被 3 个专栏收录
32 篇文章 6 订阅
订阅专栏
SIEM
11 篇文章 1 订阅
订阅专栏
主机安全
6 篇文章 1 订阅
订阅专栏

本文使用的环境为我前面博客中介绍的搭建方法。具体链接请参考windows日志转发_leeezp的博客-CSDN博客_windows日志转发 安装 ewk (es+winlogbeat+kibana) 转发主机日志_leeezp的博客-CSDN博客

这篇文章记录windows事件和日志的对应关系。

0x00  远程桌面连接登录(mstsc)

kibana 中添加过滤 host.name、event.action、winlog.event_data.LogonProcessName、winlog.event_data.LogonType、process.name、winlog.event_id。

登录成功有三条事件:

登录类型为 10,RemoteInteractive

意思是“通过rdp协议远程登录”。

Fantastic Windows Logon types and Where to Find Credentials in Them

事件id 为 4648,意思是“

当进程通过显式指定帐户的凭据尝试登录帐户时,将生成此事件。

这最常发生在批处理类型配置(如计划任务)中,或者使用"RUNAS"命令时

4648 (S) 尝试使用显式凭据登录。 (Windows 10) - Windows security | Microsoft Docs

登录失败如果在windows事件查看器 -- Windows日志 -- 安全 查看不到日志,可能是因为没有开启windows本地安全策略审核。(可能与windows版本或本地配置有关)

打开本地安全策略,cmd 输入 secpol.msc,如果报错“试图引用不存在的令牌”,

 将  C:\Windows\System32\secpol.msc  复制到其他目录,比如 桌面,双击打开即可。

在 “审核策略” -- “审核登录事件” 开启 “成功” 和 “失败”的日志:

设置完再次mstsc登录失败,在安全日志可以查看到登录失败 事件ID 4625 的告警:

 

如果没有配置本地安全策略开启登录审计,还有一个地方的日志可以发现一些端倪:

Hi,

You may view the Remote Desktop connection client ip address information in the following logs:

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManager

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Event Viewer\Windows Logs\Security  (Event ID: 4624, Logon Type: 10)

-TP

Logging IP adderess during remote desktop connection

我是在 Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

 刚好符合我密码字典里尝试的15次登录失败。

 

登录失败不清楚为什么会有1149 认证成功的日志。

这个日志可以用于远程登录失败的审计,无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。

爆破成功的日志为很多 4625 中出现 4624,logintype 都是10。

 如果看到 4778,4779 则表示 可能爆破时将正在登录的用户顶掉了。

0x01 UAC管理员账号登录

产生三条事件:

consent.exe 意思是“当用户开启用户账户控制(UAC)功能时,一个程序要更改或者使用一些比较高权限才能做的事情的功能的时候、还有当你使用管理员账户运行程序的时候,会弹出一个对话框,询问您是否允许程序修改计算机设置,这个对话框的进程就是consent.exe”。

consent.exe_百度百科

4672 (S) 分配给新登录的特殊权限。 (Windows 10) - Windows security | Microsoft Docs

4672 常常是管理员及以上权限的用户登录触发。

0x02 mimikatz sekurlsa::ekeys  显示Kerberos加密密钥

此操作默认windows是不会留下安全日志的。(多个win7环境测试)

打开本地安全的略--审核特权使用

执行 mimikatz privilege::debug sekurlsa::ekeys

SeTcbPrivilege

 该特权标志着其拥有者是操作系统的一部分,拥有该特权的进程可利用LsaLogonUser()执行创建登录令牌等操作,因此可以充当任意用户

经多次测试,2个文件系统的告警几乎和此告警同时出现,可视为这个操作同时产生的事件。

leeezp
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于关联分析的主机日志审计研究,基于Linux环境的主机日志自动审计技术
qq_64111260的博客
10-23 486
首先,工具接受外部输人的服务参数,根据内置的配置文件查找此服务应该使用的审计套件、日志文件列表。其次,上述三种日志审计方法没有考虑进行多相关文件的联合审计,此方法首次进行了多相关日志文件的审计,它将多个相关日志文件反映出来的信息进行相互印证,能及时发现日志文件是否已被人篡改或替换。-----对指定日志文件进行分析:读人需要审计的文件,根据配置文件进行预处理,包括去掉消息行头部、筛选出指定时间范围的消息行、筛选出唯一指定服务的消息行等等,然后根据分类的事件查找匹配的条目,并打印出审计信息。
CISP-Windows系统安全完美版资料.ppt
11-13
Windows系统不安全的原因主要包括:网络建设快速发展而忽视安全问题、安全知识和意识的缺乏、网络安全环境的持续变化、安全工具自动化处理漏洞和威胁的能力不足,以及安全管理人才的短缺。这些因素可能导致经济损失...
Windows主机日志分析办法与思路
hackzkaq的博客
01-15 4074
更多黑客技能 公众号:暗网黑客 看到有人问,windows主机日志怎么做分析,今天就分享一篇文章专门来说说windows主机日志分析。以下所有内容皆属于个人以往工作经验总结出来的,不是什么权威的行业标准,纯属个人理解,仅供参考使用。 在做日志分析前,首先我们针对此项工作需要有一个清晰的思路: 查看哪些主机的日志(筛选对象)——>在哪里查看(取样)——>怎么查看(研判分析)——>做好记录、保留关键截图——>上报并处置事件闭环。 1、筛选分析主机资产 筛选原理和上篇文章《Window.
最新windows安全事件id汇总_电脑事件id大全(1)
最新发布
2401_84297944的博客
05-02 755
4647 ----- 用户启动了注销4648 ----- 使用显式凭据尝试登录4649 ----- 检测到重播攻击4650 ----- 建立了IPsec主模式安全关联4651 ----- 建立了IPsec主模式安全关联4652 ----- IPsec主模式协商失败4653 ----- IPsec主模式协商失败4654 ----- IPsec快速模式协商失败4655 ----- IPsec主模式安全关联已结束4656 ----- 请求了对象的句柄。
Linux环境(五)--主机信息与日志
xiaoyi239的专栏
05-03 239
主机信息正如我们可以确定用户信息一样,程序也可以确定其运行的计算机的信息。uname命令提供了这些信息。uname同时也作为一个系统调用来在一个C程序中提供同样的信息,我们可以使用man 2 uname来查看详细的信息。许 多情况都需要主机信息。我们也许希望依据在网络中一个程序所运行的机器的名字来自定义其行为,也就是说,是一个学生的机器还是一个管理员的机器。为了授权 的目的,我们也许希望限制一个程...
Windows日志分析
weixin_56233402的博客
04-22 2961
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
linux主机日志文件,Linux服务器日志文件解读
weixin_34911749的博客
04-28 239
当虚拟主机发生错误时,主机供应商都会想办法去解决,但通常事与愿违。一个不争的事实就是不是所有的技术都很安全,但你有问题并不意味着就是世界末日。事实上,在一些Linux日志文件的帮助下,你很快就能修复你的系统。什么是日志文件?日志文件是在你操作系统下运行的所有进程的基础脚本。他们跟踪以什么样的脚本开始并且如何开始。如果在这过程中出现错误,这个日志文件就会告诉你这是个什么样的错误,并且说明有哪些进程会...
主机、数据库日志收集
weixin_34151004的博客
04-08 237
Current Version:V1.0.0 Latest Version:主机、数据库日志收集 Create Time:2016-04-08 Update Time:2016-04-08 15:24 一、主机系统日志收集: Linux AIX HP-UX Solaris Windows 二、数据库告警日志收集: Oracle 一、主机系统日志收集: 创建主机日志收集目录: --Unix/...
中国移动主机系统安全策略.doc
06-23
第三章聚焦于具体的Windows主机安全策略,包括用户、用户组及其权限的精细化管理,特别是对系统管理员账号的限制,以降低内部威胁。此外,还讨论了防火墙、入侵检测系统、补丁管理和日志审计等实践,这些都是防范...
Windows Server 2008故障转移群集攻略
04-24
Windows Server 2008 的故障转移群集是一种高级的高可用性解决方案,旨在通过将多台服务器组织成一个群集来确保关键服务和应用程序的持续运行。在群集中,各个服务器节点相互协作,一旦主服务器出现故障,另一台...
windows系统集成规范V1.0
03-26
主机安全加固涉及防火墙配置、安全更新、入侵检测系统、日志审计等,增强系统的抗风险能力。 通过遵循《Windows系统集成规范V1.0》,企业能够建立一个强大且稳定的IT环境,满足业务需求,同时降低运维成本,提高...
windows环境DataGuard配置.doc
10-03
Windows环境下配置Oracle DataGuard是一项复杂但至关重要的任务,它能提供高可用性和灾难恢复解决方案。以下是基于提供的文档摘要的详细步骤和知识点解释: 1. **DataGuard配置环境**: 主机(Primary):192....
evergreen:来自MongoDB的分布式持续集成系统
02-09
Evergreen是由MongoDB构建的分布式持续集成系统。 它动态分配主机以在许多计算机上并行运行任务。 产品特点 弹性主机分配 仅使用所需的计算资源。 干净的用户界面 轻松浏览测试,日志和提交历史记录的状态。 多平台...
Windows+WAS+IHS集群部署.pdf
10-02
在IT领域,高效、稳定的服务运行环境是企业业务持续发展的关键。Windows操作系统结合WebSphere Application Server (WAS)和IBM HTTP Server (IHS)构建的集群解决方案,为高可用性和负载均衡提供了强大的支持。本文将...
ENOVIA系统安装和配置文档R2017x Windows-V1.1
10-22
- 遵循最佳实践,确保系统的安全性,定期更新组件,执行维护任务,如数据库维护、日志清理等。 9. **用户培训与支持**: - 在部署后,对用户进行培训,确保他们能够有效地使用ENOVIA系统,并提供持续的技术支持。...
IP数据包的分析
01-10
在计算机网络中,IP(Internet Protocol)数据包是网络层的主要传输单位,负责在互联网上从源主机传输到目标主机。本次课程设计旨在深入理解IP数据包的结构以及IP协议的工作原理,通过编写程序来解析并分析IP数据包...
日志主机搭建总结
weixin_34075268的博客
10-13 568
日志主机搭建总结这几天一直在自学linux,正好前段时间公司日志服务器坏了,我感觉到练手的时机到了,于是我就开始在网上找资料,一点点的去试着做一个日志主机。从LAMP开始,到rsyslog的调试配置,最后到LogAnalyzer的调试配置期间遇到很多问题,但是一个一个都解决了。最重要的就是找到了解决问题的方法。具体的搭建过程就不再写了网上有很多教程比如LAMP+Rsyslog...
【应用安全主机日志安全分析
翼安研习社的博客
03-12 683
作者|卢梦予 信息收集|卢梦予 本文部分信息来源出处:《Linux信息安全实用教程》 目录0. 前言1. 日志分类1.1 连接时间日志1.2 进程统计日志1.3 错误日志2. 常见的日志文件及查看方式3. 日志消息的级别4. 日志安全分析实例 0. 前言 要维持Linux系统的安全,必须清楚地知道系统一直在忙碌什么。Linux日志对于安全来说非常重要,它记录了系统每天发生的各种各样的事情,可以通过日志来检查错误发生的原因,或者找出受到攻击时攻击者留下的痕迹。 1. 日志分类 1.1 连接时间.
安骑士主机日志实时分析功能
weixin_33929309的博客
03-05 502
您是否已经在使用了安骑士保护着成千上万的主机,并且有进一步的需求: 法规需要,要留存IT设备的日志一段时间。 主机上的登录、网络、进程日志等,可以清楚知道所有这些主机上发生的行为,需要基于此进行实时分析查询与报表建立,便于对系统整体有一个认知。 导出这些日志到其他系统,便于进一步管理。 如果是的,您可以开通安骑士主机日志导入到日志服务,进行实时分析...
搭建日志服务器ELK
11-25
ELK这三个开源工具的关系,简单来说就是logstatsh 收集日志,存到elasticserach (存储,产生索引,搜索),再由kibana展现(view)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值