windows日志和审核

windows事件日志简介

Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。

Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件1D、来源、任务类别、描述、数据等信息。

Windows事件日志共有五种事件级别,所有的事件必须只能拥有其中的一种事件级别。

1.信息( Information)

信息事件指应用程序、驱动程序或服务的成功操作的事件。

2.警告( Warning)

警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或末找到打印机时,都会记录一个“警告”事件。

3.错误(Error)

错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

4.成功审核( Success audit)

成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。

5.失败审核( Failure audit)

失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

---

Windows日志文件

从1993年的 Windows N3.1起,微软就开始使用事件日志来记录各种事件的信息。在N的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/win2000/XP/Server2003中,日志文件的扩展名一直是evt,存储位置为“% systemroot% \System32 config”。从Windows Vista和 Server2008开始,日志文件的文件名、结构和存储位置发生了巨大改变,文件扩展名改为evx(XML格式),存储位置改为“% systemroot% \System32\ WinEt\logs”。

1.系统日志

记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件崩溃以及数据。

默认位置

NT/Win2000/XP/Server 2003

C: WINDOWS\system32\config\SysEvent Evt

Vista/Win7/Win8//Win10/Server 2008/Server 2012

C: WINDOWS\system32\winet \Logs\ System. evtx

2.应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。

默认位置

NT/Win2000/XP/Server 2003

C:\WINDOWS\system32\config \AppEvent Evt

Vista/Win7/Win8//Win10/Server 2008/Server 2012

C:\WINDOWS\system32 winet \Logs \ Application. evtx

3.安全日志

记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

默认位置

NT/Win2000/XP/Server 2003

C:\ WINDOWS\system32\ config SecEvent Evt

Vista/Win7/Win8//Win10/Server 2008/Server 2012

C: WINDOWS\system32\ winet \Logs\ Security. evtx

虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。

系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

---

windows事件日志分析

在 Windows7和 Windows Server2008R2中各种与安全和审核有关事件—用户登录与注销

■场景

判断哪个用户尝试进行登录

分析被控制的用户的使用情况

■事件ID

4624-登录成功

4625登录失败

4634/4647-注销成功

4672使用超级用户(如管理员)进行登录

在 Windows7和 Windows Server2008R中的各种与安全和审核有关事件——追踪硬件变动

■场景

分析哪些硬件设备什么时间安装到系统中

■事件ID

20001-即插即用驱动安装( System日志)

20003-即插即用驱动安装( System日志)

4663-移动设备访问成功( Security日志)

4656-移动设备访问失败( Security日志)

在 Windows7和 Windows Server2008R2中的各种与安全和审核有关事件—无线网络位置

■场景

分析系统访问过哪些关联的无线网络、VPN等

■事件ID

10000-网络已连接

10001-网络已断开连接

筛选日志是分析事件日志最常用的功能,可以根据事件1D、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。

---

windows安全审计实战

操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看与安全相关的日志文件的内容,来分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。

配置审计策略

1.选择【开始】=>【管理工具】→【本地安全策略】菜单,打开“本地安全设置”窗口。

2.选择【安全设置】-【本地策略】=>【审核策略】,双击右侧的“审核对象访问”,在打对话框中选中“成功”和“失败”。

3.单击确定按钮关闭窗口,配置结果如所示。

配置访问文件夹的权限

1.新建文件夹“C:\test”。

2.右击文件夹“C:\test”,选择【属性】菜单,在打开的“审计属性”对话框中选择“安全”标签

注销后，用lisi身份登录，在新建的test文件夹下，创建两个txt文件，并删除其中一个。

然后注销，以管理员身份登录，在事件查看器，查找lisi，可以看到。