java输出windows系统日志_闲聊Windows系统日志

title: "闲聊Windows系统日志"

date: 2021-02-22T18:59:49+08:00

draft: true

tags: ['windows']

author: "dadigang"

author_cn: "大地缸"

personal: "http://www.real007.cn"

闲聊Windows系统日志

2018-07-302018-07-30 17:38:54阅读 4.2K0

\ 本文作者：TomKing，本文属FreeBuf原创奖励计划，未经许可禁止转载*

前言

最近遇到不少应急都提出一个需求，能不能溯源啊？这个事还真不好干，你把证据，犯案时间都确定的时候，要求翻看监控(日志)对应犯罪嫌疑人时，突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志，因此这种原因会少了很多，然而我对于Windows中系统日志不了解，在解读时经常摸不着头脑，所以就认真的分析了evtx格式的系统日志。这篇文章可能记录的不是很全面，师傅们多多指教。

Windows系统日志简介

Windows操作系统在其运行的生命周期中会记录其大量的日志信息，这些日志信息包括：Windows事件日志(Event Log)，Windows服务器系统的IIS日志，FTP日志，Exchange Server邮件服务，MS SQL Server数据库日志等。处理应急事件时，客户提出需要为其提供溯源，这些日志信息在取证和溯源中扮演着重要的角色。

Windows事件日志文件实际上是以特定的数据结构的方式存储内容，其中包括有关系统，安全，应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段)：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证，了解计算机上上发生的具体行为。

查看系统日志方法，Windows系统中自带了一个叫做事件查看器的工具，它可以用来查看分析所有的Windows系统日志。打开事件查看器方法：开始->运行->输入eventvwr->回车的方式快速打开该工具。使用该工具可以看到系统日志被分为了两大类：Windows日志和应用程序和服务日志。早期版本中Windows日志只有，应用程序，安全，系统和Setup，新的版本中增加了设置及转发事件日志(默认禁用)。

系统内置的三个核心日志文件(System，Security和Application)默认大小均为20480KB(20MB)，记录事件数据超过20MB时，默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB，超过最大限制也优先覆盖过期的日志记录。

Windows事件日志中共有五种事件类型，所有的事件必须拥有五种事件类型中的一种，且只可以有一种。五种事件类型分为：

信息(Information)

信息事件指应用程序、驱动程序或服务的成功操作的事件。

警告(Warning)

警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

错误(Error)

错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。

成功审核(Success audit)

成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“ 成功审核”事件。

失败审核(Failure audit)

失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。