前言
Windows 操作系统是目前使用最为广泛的操作系统之一,它提供了强大的日志记录功能,可以帮助用户了解系统的运行状况、诊断故障以及追踪安全事件等。Windows 日志是一种记录系统、应用程序和安全事件的文件,它包含了有关系统活动的详细信息,如登录尝试、系统错误、应用程序崩溃等。
通过分析 Windows 日志,用户可以了解系统的运行状况,及时发现并解决问题,提高系统的安全性和稳定性。本文将介绍 Windows 日志的基本概念、日志类型、日志查看工具以及日志分析方法等内容,帮助用户更好地利用 Windows 日志来诊断和解决问题。
一、windows日志简介
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。它包含了有关系统活动的详细信息,如登录尝试、系统错误、应用程序崩溃等。我们可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志
- 应用程序日志位置:
C:\Windows\System32\winevt\Logs\System.evtx - 系统日志位置:
C:\Windows\System32\winevt\Logs\Application.evtx - 安全日志位置:
C:\Windows\System32\winevt\Logs\Security.evtx
二、事件日志分析
事件类型:
Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。
Windows事件日志共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型。
登录类型:
| 登录类型 | 描述 | 说明 |
|---|---|---|
| 2 | 交互式登录(Interactive) | 用户在本地进行登录。 |
| 3 | 网络(Network) | 最常见的情况就是连接到共享文件夹或共享打印机时. |
| 4 | 批处理(Batch) | 通常表明某计划任务启动。 |
| 5 | 服务(Service) | 每种服务都被配置在某个特定的用户账号下运行。 |
| 7 | 解锁(Unlock) | 屏保解锁。 |
| 8 | 网络明文(NetworkCleartext) | 登录的密码在网络上是通过明文传输的,如FTP。 |
| 9 | 新凭证(NewCredentials) | 使用带/Netonly参数的RUNAS命令运行一个程序。 |
| 10 | 远程交互(Remotelnteractive) | 通过终端服务、远程桌面或远程协助访问计算机。 |
| 11 | 缓存交互(Cachedinteractive) | 以一个域用户登录而又没有域控制器可用。 |
登录类型2:交互式登录(Interactive):就是指用户在计算机的控制别台上进行的登录,也就是在本地键盘上进行的登录。
登录类型3:网络(Network):最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。
登录类型4:批处理(Batch):当Windows运行一个计划任务时,"计划任务服务"将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来清测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service):与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。
登录类型7:解锁(Unlock):很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type7。
登录类型8:网络明文(NetworkCleartext):通常发生在IIS的ASP登录。不推荐。
登录类型9:新凭证(NewCredentials):通常发生在RunAS方式运行某程序时的登录验证。
登录类型10:远程交互(Remotelnteractive):通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
登录类型11:缓存交互(Cachedinteractive):在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。
事件日志查看器
筛选日志是分析事件日志最常用的功能,我们可以根据事件ID、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。
常见的日志分析
| 事件ID | 说明 |
|---|---|
| 4624 | 登录成功 |
| 4625 | 登录失败 |
| 4634 | 注销成功 |
| 4647 | 用户启动的注销 |
| 4648 | 试图使用显式凭据登录。 |
| 4672 | 使用超级用户(如管理员)进行登录 |
| 4720 | 创建用户 |
| 4774 | 帐户已登录映射。 |
| 4775 | 无法映射的登录帐户。 |
| 4776 | 计算机试图验证的帐户凭据。 |
| 4777 | 域控制器无法验证帐户的凭据 |
| 4778 | 到窗口站重新连接会话。 |
| 4779 | 从窗口站,会话已断开连接。 |
| 6005 | 表示计算机日志服务已启动,如果在事件查看器中发现某日的事件D号为6005,就说明这天正常启动了windows系统。 |
| 6006 | 表示事件日志服务已停止,如果没有在事件查看器中发现某日的事牛ID为6006的事件,就表示计算机在这天没关机或没有正常关机 |
三、日志分析攻击
Log Parser 2.2下载地址:
https://www.microsoft.com/en-us/download/details.aspx?id=24659
使用教程:
https://www.jb51.net/hack/384430.html
总结
Windows 日志是提高系统安全性的关键,通过分析 Windows 日志,可以了解系统的运行状况、检测安全威胁和故障、调查事件等。为了保证日志的安全性,应该采取相应的安全措施,如存储在安全的位置、定期备份、访问控制等。同时,应该建立日志分析策略,使用自动化工具,提高日志分析的效率和准确性。
2699
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
