windows主机日志分析(持续更新)

已于 2022-07-22 11:16:21 修改
阅读量10w+ 收藏 4
点赞数
分类专栏: 主机安全 网络安全 SIEM 文章标签: 系统安全 网络安全 windows 安全
于 2022-07-20 17:11:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/125894670
版权

本文使用的环境为我前面博客中介绍的搭建方法。具体链接请参考windows日志转发_leeezp的博客-CSDN博客_windows日志转发 安装 ewk (es+winlogbeat+kibana) 转发主机日志_leeezp的博客-CSDN博客

这篇文章记录windows事件和日志的对应关系。

0x00  远程桌面连接登录(mstsc)

kibana 中添加过滤 host.name、event.action、winlog.event_data.LogonProcessName、winlog.event_data.LogonType、process.name、winlog.event_id。

登录成功有三条事件:

登录类型为 10,RemoteInteractive

意思是“通过rdp协议远程登录”。

Fantastic Windows Logon types and Where to Find Credentials in Them

事件id 为 4648,意思是“

当进程通过显式指定帐户的凭据尝试登录帐户时,将生成此事件。

这最常发生在批处理类型配置(如计划任务)中,或者使用"RUNAS"命令时

4648 (S) 尝试使用显式凭据登录。 (Windows 10) - Windows security | Microsoft Docs

登录失败如果在windows事件查看器 -- Windows日志 -- 安全 查看不到日志,可能是因为没有开启windows本地安全策略审核。(可能与windows版本或本地配置有关)

打开本地安全策略,cmd 输入 secpol.msc,如果报错“试图引用不存在的令牌”,

 将  C:\Windows\System32\secpol.msc  复制到其他目录,比如 桌面,双击打开即可。

在 “审核策略” -- “审核登录事件” 开启 “成功” 和 “失败”的日志:

设置完再次mstsc登录失败,在安全日志可以查看到登录失败 事件ID 4625 的告警:

 

如果没有配置本地安全策略开启登录审计,还有一个地方的日志可以发现一些端倪:

Hi,

You may view the Remote Desktop connection client ip address information in the following logs:

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManager

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Event Viewer\Windows Logs\Security  (Event ID: 4624, Logon Type: 10)

-TP

Logging IP adderess during remote desktop connection

我是在 Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

 刚好符合我密码字典里尝试的15次登录失败。

 

登录失败不清楚为什么会有1149 认证成功的日志。

这个日志可以用于远程登录失败的审计,无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。

爆破成功的日志为很多 4625 中出现 4624,logintype 都是10。

 如果看到 4778,4779 则表示 可能爆破时将正在登录的用户顶掉了。

0x01 UAC管理员账号登录

产生三条事件:

consent.exe 意思是“当用户开启用户账户控制(UAC)功能时,一个程序要更改或者使用一些比较高权限才能做的事情的功能的时候、还有当你使用管理员账户运行程序的时候,会弹出一个对话框,询问您是否允许程序修改计算机设置,这个对话框的进程就是consent.exe”。

consent.exe_百度百科

4672 (S) 分配给新登录的特殊权限。 (Windows 10) - Windows security | Microsoft Docs

4672 常常是管理员及以上权限的用户登录触发。

0x02 mimikatz sekurlsa::ekeys  显示Kerberos加密密钥

此操作默认windows是不会留下安全日志的。(多个win7环境测试)

打开本地安全的略--审核特权使用

执行 mimikatz privilege::debug sekurlsa::ekeys

SeTcbPrivilege

 该特权标志着其拥有者是操作系统的一部分,拥有该特权的进程可利用LsaLogonUser()执行创建登录令牌等操作,因此可以充当任意用户

经多次测试,2个文件系统的告警几乎和此告警同时出现,可视为这个操作同时产生的事件。

leeezp
关注
专栏目录
基于关联分析的主机日志审计研究,基于Linux环境的主机日志自动审计技术
qq_64111260的博客
10-23 545
首先,工具接受外部输人的服务参数,根据内置的配置文件查找此服务应该使用的审计套件、日志文件列表。其次,上述三种日志审计方法没有考虑进行多相关文件的联合审计,此方法首次进行了多相关日志文件的审计,它将多个相关日志文件反映出来的信息进行相互印证,能及时发现日志文件是否已被人篡改或替换。-----对指定日志文件进行分析:读人需要审计的文件,根据配置文件进行预处理,包括去掉消息行头部、筛选出指定时间范围的消息行、筛选出唯一指定服务的消息行等等,然后根据分类的事件查找匹配的条目,并打印出审计信息。
window入侵排查
u012207466的博客
06-12 2460
## 第1篇:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
最新windows安全事件id汇总_电脑事件id大全(1)
2401_84297944的博客
05-02 1313
4647 ----- 用户启动了注销4648 ----- 使用显式凭据尝试登录4649 ----- 检测到重播攻击4650 ----- 建立了IPsec主模式安全关联4651 ----- 建立了IPsec主模式安全关联4652 ----- IPsec主模式协商失败4653 ----- IPsec主模式协商失败4654 ----- IPsec快速模式协商失败4655 ----- IPsec主模式安全关联已结束4656 ----- 请求了对象的句柄。
Windows 安全事件日记中账户登录失败问题处理
qyhua的专栏
09-24 920
解决 Windows 安全事件日记中账户登录失败问题处理
日志事件ID
m0_62207482的博客
04-19 860
日志排查时,通常会根据事件ID搜索日志。4672:新登录的用户被分配管理员权限。4648:使用显式凭证尝试登录。4647:注销远程登录的用户。4634:注销本地登录用户。4732:添加用户到用户组。4733:从组中删除用户。4798:枚举本地用户组。4724:修改用户密码。4734:删除用户组。4738:修改用户账户。4722:启用新用户。4731:创建用户组。4735:安全组更改。
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 4062
windows暴破事件日志
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 8032
日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
Linux环境(五)--主机信息与日志
xiaoyi239的专栏
05-03 321
主机信息正如我们可以确定用户信息一样,程序也可以确定其运行的计算机的信息。uname命令提供了这些信息。uname同时也作为一个系统调用来在一个C程序中提供同样的信息,我们可以使用man 2 uname来查看详细的信息。许 多情况都需要主机信息。我们也许希望依据在网络中一个程序所运行的机器的名字来自定义其行为,也就是说,是一个学生的机器还是一个管理员的机器。为了授权 的目的,我们也许希望限制一个程...
Windows日志分析
weixin_56233402的博客
04-22 4446
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
linux主机日志文件,Linux服务器日志文件解读
weixin_34911749的博客
04-28 268
当虚拟主机发生错误时,主机供应商都会想办法去解决,但通常事与愿违。一个不争的事实就是不是所有的技术都很安全,但你有问题并不意味着就是世界末日。事实上,在一些Linux日志文件的帮助下,你很快就能修复你的系统。什么是日志文件?日志文件是在你操作系统下运行的所有进程的基础脚本。他们跟踪以什么样的脚本开始并且如何开始。如果在这过程中出现错误,这个日志文件就会告诉你这是个什么样的错误,并且说明有哪些进程会...
Windows日志】记录系统事件的日志
热门推荐
第一天
10-14 2万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
驾驭CrowdStrike:Windows主机文件处理全攻略
07-21
### 驾驭CrowdStrike:Windows主机文件处理全攻略 CrowdStrike是一家提供在线安全解决方案的公司,专注于提供基于云计算的端点保护平台。以下是关于CrowdStrike的一些关键信息及其在Windows主机上的文件处理全攻略...
windows ping命令加时间并记录日志
09-28
除了基本的`ping`命令,Windows还提供了其他选项,如`-t`(持续ping直到中断)、`-a`(将IP地址解析为主机名)和`-j host_list`(使用源路由,通过指定的主机列表)。通过灵活运用这些选项,我们可以对网络状况进行...
windows 环境下 ping 加时间戳 记日志
05-11
`ping`命令非常实用,但在进行长时间监控或者需要分析数据时,将输出结果保存为日志文件会更加方便。本文将详细讲解如何在Windows中使用`ping`命令加上时间戳并记录到日志文件中。 首先,让我们了解`ping`命令的...
windows服务器审计日志存放位置,windows服务器审计日志存放位置
weixin_29430629的博客
08-06 4266
windows服务器审计日志存放位置 内容精选换一换Manager的审计日志默认保存在数据库中,如果长期保留可能引起数据目录的磁盘空间不足问题,管理员如果需要将审计日志保存到其他归档服务器,可以在FusionInsight Manager设置转储参数及时自动转储,便于管理审计日志信息。若用户未配置审计日志转储,当审计日志达到十万条,系统自动将这十万条审计日志保存到文件中。保存路径为主管理节为加强对...
CentOS7中使用Prometheus监控Windows主机
JessonLiu_的博客
01-09 1047
由 Prometheus Community 维护windows_exporter是一个采集Windows 机器指标的采集器。支持 Windows Server 2008R2 以上版本和 Windows 7 以上版本。
了解Windows安全事件,对安全事件进行故障诊断
最新发布
ITmoster的博客
10-18 873
Windows 中发生的安全事件通常有两种严重类型。第一种是威胁网络完整性的隔离事件,例如意外被授予敏感权限的终端用户。另一个涉及多次失败的登录尝试,这表明可能存在危险的活动。
主机、数据库日志收集
weixin_34151004的博客
04-08 259
Current Version:V1.0.0 Latest Version:主机、数据库日志收集 Create Time:2016-04-08 Update Time:2016-04-08 15:24 一、主机系统日志收集: Linux AIX HP-UX Solaris Windows 二、数据库告警日志收集: Oracle 一、主机系统日志收集: 创建主机日志收集目录: --Unix/...
日志分析
WX公众号-小白学安全
04-15 1765
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值