日志分析-Windows

于 2024-08-18 01:12:16 发布
阅读量658 收藏 6
点赞数 33
分类专栏: 网络安全应急响应 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53008479/article/details/141286284
版权

目录

Windows事件日志

场景 1(问题 1):服务器管理员向管理层提出了大量关于 PowerShell 在环境中被阻止的投诉。管理层最终批准在环境中使用 PowerShell。查看哪些日志、监控哪些事件 ID 等。

1.根据实验原理,PowerShell Downgrade Attacks这个攻击的事件ID为400
2.用事件查看器打开日志,过滤事件ID为400的事件日志,利用日志详细信息中的HostApplication的命令快速筛查最早执行这个攻击的日志时间
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、可以看到在2020/12/18 23:42:29事件执行了命令powershell -nop -ep bypass -version 2 -command $host.version,对后面日志仔细筛查HostVersion的值为2
在这里插入图片描述

4、可以看到在2020/12/18 23:50:33 的事件中HostVersion值为2.0
在这里插入图片描述

场景 2(问题 2):安全团队希望确保可以监控事件日志是否被清除。检查XML视图

5、清楚筛选器,查找事件关键字清除,查找日志清除日志信息
在这里插入图片描述

6、打开详细信息可以看到XML视图中的Event Record ID为27736
在这里插入图片描述

7、可以在XML视图中同样看到Computer
在这里插入图片描述

场景 3(问题 3):威胁情报团队分享了其对Emotet 的研究。他们建议在 EventData 元素中搜索事件 ID 4104 和文本“ScriptBlockText”。查找编码的 PowerShell Payload。

1、筛选源PowerShell
在这里插入图片描述

2、向下查看第一个日志信息,第一个变量名和攻击发生的时间也可以在这个日志查看到
在这里插入图片描述
3、查看详细信息的XML视图可以看到Execution ProcessID为6620
在这里插入图片描述

场景 4(问题 4):收到报告称一名实习生被怀疑运行异常命令,例如枚举管理员组的成员。搜索“C:\Windows\System32\net1.exe”

1、根据实验原理,筛选事件ID为4799的事件
在这里插入图片描述
2、在筛选后的结果条目中选择Administrator的条目
在这里插入图片描述

3、在详细信息的XML视图查看到Target SID为S-1-5-32-544,事件ID为4799
在这里插入图片描述

Web日志

1.log文件中找到Google bot爬虫的IP

打开1.log日志文件,搜索google字段,可以筛选出利用google爬虫的IP
在这里插入图片描述

3.log文件找到工具扫描的IP

打开3.log日志文件,搜索404字段,可以筛选出大量扫描出错的IP
在这里插入图片描述

4.log文件找到SQL注入的IP

打开4.log日志文件,搜索select字段,可以筛选出使用Select语句进行注入的请求
在这里插入图片描述

根据注入语句的特征是sqlmap,可以搜索至最后一次出现sqlmap的时间
在这里插入图片描述

在这时间线附近查看login/access等关键字,可以看到200响应登陆成功
在这里插入图片描述

总结

1、事件日志作为一种检测机制,“Windows PowerShell”经典事件日志的事件 ID 为 400。这是“引擎生命周期”事件,包括引擎版本。

2、4799: A security-enabled local group membership was enumerated

4799 中的描述字段
主题:
执行枚举操作的用户

安全 ID
帐户名称
帐户域
登录 ID 为 4624
团体:
枚举其成员资格的用户组

安全 ID
组名称
组域
处理信息:
进程 ID 是在 4688 中记录的可执行文件启动时指定的进程 ID。
进程名称:标识执行枚举的程序可执行文件。

山兔1
关注
  • 33
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows系统日志分析工具-- Log Parser
qq_38205354的博客
01-12 7854
可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客 写完才看见。吐了 0x01 基本设置 事件ID及常见场景 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件ID查看计算机的开机、关...
windows日志分析工具
12-19
Windows操作系统中,日志分析是一项关键的任务,用于诊断系统问题、排查安全事件以及优化系统性能。"windowslog"描述的可能是一个专用于处理Windows日志的软件或插件。这个工具可能具备读取、解析、筛选和报告系统...
Logpaser分析-Windows系统日志
dayouzi的博客
08-07 1814
本文重点在于用logparser收集windows日志中指定字段及语法.
日志分析-apache日志分析
m0_50572593的博客
06-13 1986
玄机-第二章日志分析-apache日志分析- 1、提交当天访问次数最多的IP,即黑客IP: 2、黑客使用的浏览器指纹是什么,提交指纹的md5: 3、查看index.php页面被访问的次数,提交次数: 4、查看黑客IP访问了多少次,提交次数: Apache日志分析是网站管理和维护的重要部分,通过分析Apache服务器生成的日志文件,可以了解网站的访问情况、识别潜在的安全问题、优化网站性能等。Apache日志主要有两种类型:访问日志(access log)和错误日志(error log)。
玄机——第二章 日志分析-apache日志分析 wp
焦虑的焦虑
06-10 2076
第二章 日志分析-apache日志分析
Windows 事件日志分析管理
ITmoster的博客
03-10 1404
EventLog Analyzer 是一款称职的日志管理工具,可以收集、分析和存档事件日志以及多种其他日志格式,以确保网络安全
windows日志分析-Log Parser等工具使用
李安北的博客
05-24 9556
Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx 包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。 安全日志:%SystemRoot%\Syste
Windows安全日志分析
热门推荐
安全狐
11-16 1万+
Windows的日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
windows操作系统蓝屏错误日志分析-通用方法
君临天下的博客
05-21 845
然后AI一下,查下用途,定位故障原因。此电脑-右键-属性-高级系统设置。
Windows日志分析
weixin_56233402的博客
04-22 3721
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
2-网站日志分析案例-基于Flume采集WEB日志-windows版本
IT从业者的成长历程
12-21 1647
本文主要基于Flume实现了日志的采集,本文案例不复杂,但由于基于windows实现的案例不多,笔者尽量把自己遇到的问题描述在博客中,包括编码问题和配置的注意事项,减少大家的试错成本。
ipmitool-windows-1.8.18
07-12
3. **事件日志查看**:读取并分析系统事件日志,以便诊断故障原因。 4. **固件更新**:通过FTP、TFTP或HTTP等方式,对服务器的BMC(Baseboard Management Controller)固件进行升级。 5. **KVM Over IP**:提供...
PlotJuggler-Windows-3.6.0-installer
12-30
标题中的"PlotJuggler-Windows-3.6.0-installer"指的是PlotJuggler的一个特定版本,即3.6.0版本的Windows安装程序。PlotJuggler是一款强大的实时数据可视化工具,专为ROS(Robot Operating System)和Pixhawk无人机...
Windows日志外发配置
05-18
日志外发,即把Windows系统的事件日志发送到远程服务器或者第三方日志分析工具,有助于集中管理和分析来自多台计算机的日志数据,提高运维效率。"Windows日志外发配置"主要涉及到使用evntlog工具进行设置,下面我们...
windows日志一键分析小工具
02-02
可以快速的进行一些日志分析,后续也会慢慢的进一步进行更新。可以帮助一些用户快速的针对服务器日志进行分析发现。 删除一些不必要规则,修复部分bug,优化实在丑的不行的UI。 增加开关机日志规则。 增加本地日志...
Linux安全与高级应用(十三)深入解析Linux中的rsync远程同步:原理、配置与应用
洛秋的博客
08-13 980
1.1 rsync的基本原理rsync(Remote Sync)是一种用于本地或远程的文件同步工具。与传统的文件拷贝工具不同,rsync的核心优势在于其增量同步的特性,即只传输源和目标之间不同的文件部分,极大地减少了数据传输量。rsync支持通过SSH或直接使用rsync协议进行数据同步,这使得它在跨网络的大数据备份中表现尤为出色。1.2 rsync的优势增量备份:只同步差异文件或文件的变化部分,大幅减少网络传输量和时间。安全性:通过SSH加密通道进行传输,保障数据的安全。灵活性。
安全:企业上云后不可忽视的安全挑战与解决方案
A526847的博客
08-14 492
企业上云是数字化转型的必然趋势,但云安全风险也如影随形。企业必须正视云安全挑战,采取切实有效的措施来保障云安全。通过数据加密、访问控制、安全审计、备份与恢复、灾备管理、选择可信的云服务供应商和加强内部安全管理等手段,企业可以构建完善的云安全体系,确保云服务的可靠性和安全性。在未来的数字化转型中,云安全将成为企业不可或缺的重要保障。
Ghidra:开源软件逆向工程框架
最新发布
网络研究观
08-14 447
Ghidra 是一种尖端的开源软件逆向工程 (SRE) 框架,是美国国家安全局 (NSA) 研究局的产品。
什么是网络安全态势感知
m0_66268916的博客
08-13 387
德迅云安全 态势感知采用先进大数据架构,通过采集系统的网络安全数据信息,对所有安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警,打造安全可监控、威胁可感知、事件可控制的安全能力。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式、最终是为了决策与行动,是安全能力的落地。通过列表、搜索、详情等方式对告警进行展示,支持告警溯源和攻击链分析,让每一次攻击都无处可藏。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值