Windows日志研究

Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。处理应急事件时,客户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。

Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证,了解计算机上上发生的具体行为。

查看系统日志方法,Windows系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows系统日志。打开事件查看器方法:开始->运行->输入eventvwr->回车的方式快速打开该工具。使用该工具可以看到系统日志被分为了两大类:Windows日志和应用程序和服务日志。早期版本中Windows日志只有,应用程序,安全,系统和Setup,新的版本中增加了设置及转发事件日志(默认禁用)。

系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:

1.     信息(Information)

信息事件指应用程序、驱动程序或服务的成功操作的事件。

2.     警告(Warning)

警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

3.     错误(Error)

错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

4.     成功审核(Success audit)

成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

5.     失败审核(Failure audit)

失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

事件日志文件存储位置

(Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本)

类型

事件类型

描述

文件名

Windows日志

系统

包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。

System.evtx

安全

包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。

Security.evtx

应用程序

包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。

Application.evtx

应用程序及服务日志

Microsoft

Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。

详见日志存储目录对应文件

Microsoft Office Alerts

微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。

OAerts.evtx

Windows PowerShell

Windows自带的PowerShell应用的日志信息。

Windows PowerShell.evtx

Internet Explorer

IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。

Internet Explorer.evtx

Event Log files

The event logs files can normally be found in:

C:\Windows\System32\winevt\Logs\
FilenameDescription

Application.evtx

Application events

DFS Replication.evtx

TODO

HardwareEvents.evtx

TODO

Internet Explorer.evtx

Internet Explorer events

Key Management Service.evtx

TODO

Media Center.evtx

TODO

Microsoft-Windows-Bits-Client%4Operational.evtx

TODO

Microsoft-Windows-CodeIntegrity%4Operational.evtx

TODO

Microsoft-Windows-CorruptedFileRecovery-Client%4Operational.evtx

TODO

Microsoft-Windows-CorruptedFileRecovery-Server%4Operational.evtx

TODO

Microsoft-Windows-DateTimeControlPanel%4Operational.evtx

TODO

Microsoft-Windows-Diagnosis-DPS%4Operational.evtx

TODO

Microsoft-Windows-Diagnosis-PLA%4Operational.evtx

TODO

Microsoft-Windows-Diagnostics-Networking%4Operational.evtx

TODO

Microsoft-Windows-Diagnostics-Performance%4Operational.evtx

TODO

Microsoft-Windows-DiskDiagnostic%4Operational.evtx

TODO

Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx

TODO

Microsoft-Windows-DiskDiagnosticResolver%4Operational.evtx

TODO

Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx

TODO

Microsoft-Windows-Forwarding%4Operational.evtx

TODO

Microsoft-Windows-GroupPolicy%4Operational.evtx

TODO

Microsoft-Windows-Help%4Operational.evtx

TODO

Microsoft-Windows-International%4Operational.evtx

TODO

Microsoft-Windows-Kernel-WDI%4Operational.evtx

TODO

Microsoft-Windows-Kernel-WHEA.evtx

TODO

Microsoft-Windows-LanguagePackSetup%4Operational.evtx

TODO

Microsoft-Windows-MUI%4Operational.evtx

TODO

Microsoft-Windows-NetworkAccessProtection%4Operational.evtx

TODO

Microsoft-Windows-Program-Compatibility-Assistant%4Operational.evtx

TODO

Microsoft-Windows-ReadyBoost%4Operational.evtx

TODO

Microsoft-Windows-ReliabilityAnalysisComponent%4Metrics.evtx

TODO

Microsoft-Windows-ReliabilityAnalysisComponent%4Operational.evtx

TODO

Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx

TODO

Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx

TODO

Microsoft-Windows-Resource-Leak-Diagnostic%4Operational.evtx

TODO

Microsoft-Windows-RestartManager%4Operational.evtx

TODO

Microsoft-Windows-TaskScheduler%4Operational.evtx

TODO

Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx

TODO

Microsoft-Windows-UAC%4Operational.evtx

TODO

Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx

TODO

Microsoft-Windows-WindowsUpdateClient%4Operational.evtx

TODO

Microsoft-Windows-Winlogon%4Operational.evtx

TODO

Microsoft-Windows-Wired-AutoConfig%4Operational.evtx

TODO

Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx

TODO

ODiag.evtx

TODO

OSession.evtx

Office sessions events

Security.evtx

Security events

Setup.evtx

Setup events

System.evtx

System events

参考:

https://github.com/libyal/libevtx/blob/master/documentation/Windows%20XML%20Event%20Log%20%28EVTX%29.asciidoc#2-file-header

https://blog.csdn.net/qq_27446553/article/details/80906390#commentBox

  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值