seci-log 1.04 增加windows日志分析

最新推荐文章于 2023-06-27 14:40:01 发布
最新推荐文章于 2023-06-27 14:40:01 发布
阅读量123 收藏
点赞数
文章标签: 操作系统 python
原文链接:https://my.oschina.net/secisland/blog/422797
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

这篇文章是seci-log 开源日志分析软件的升级内容,上篇文章的地址为:http://www.oschina.net/news/62548/seci-log-1-03

本次升级并没有增加新的告警,而是增加了window的日志分析,主要分析了windows的登录日志和操作日志,这两个比较重要的日志类型,其他日志类型可以作为通用的日志收集功能进行存储查询。

Windows系统没有自带的功能支持系统日志进行syslog发送,因此需要依赖第三方工具,这里我们推荐一款非常好用的轻量级日志采集模块:Nxlog,在Windows下部署和配置均十分便捷。

注:本人测试过2008 server,理论上2012也是可以的,其他环境没有测试,如果有问题欢迎到群里咨询。

1、安装Nxlog

从Sourceforge下载最新的 Nxlog,并安装。

2、建立配置文件

修改配置文件,默认配置文件位置:

C:\Program Files\nxlog\conf\nxlog修改为以下内容,注意要修改实际路径和争取的发送目的的地址。

如果想收集全部日志去掉query行。

im_msvistalog针对Windows 2008系列,im_mseventlog针对Windows 2003系列。注意和实际环境一致。

define ROOT C:\Program Files\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension syslog>
Module xm_syslog
</Extension>

<Input in>
    Module      im_msvistalog
ReadFromLast TRUE
 Query <QueryList><Query Id="1"><Select Path="Security">*[System[(EventID=4688 or EventID=4624 or EventID=4625) ]]</Select></Query></QueryList>
Exec  $Message = ""; 
Exec to_syslog_ietf(); $raw_event = replace($raw_event, 'NXLOG@14506', 'secisland windows eventlog ', 1);
</Input>

<Output out>
    Module      om_udp
    Host        192.168.21.1
    Port        514

</Output>

<Route 1>
    Path        in => out
</Route>

3、重启Nxlog服务

092745_EZvF_247205.png

4、查看日志

如果配置正常,可以在后台安全健康--安全事件中看到如下日志:

2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登录" Opcode="信息" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta

5、相关告警

密码猜测,非上班时间登录,非上班地点登录,密码猜测成功,账号猜测告警和这些内容相关。



转载于:https://my.oschina.net/secisland/blog/422797

weixin_33737774
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
seci-log-master.zip
11-27
"seci-log-master.zip" 是一个压缩包,包含赛克蓝德公司提供的日志分析软件的相关源代码或资源。这个软件主要用于程序开发过程中对日志数据进行收集、处理和分析,帮助开发者更好地理解和优化他们的应用性能。日志...
Nxlog日志过滤
ChauncyTan的博客
01-16 2515
一般情况下nxlog只用于windows2008以及以上版本的日志转发(即使用im_msvistalog模式),实测08以下版本日志转发时出现乱码。 im_msvistalog使用以下字段 $raw_event (type: string) 包含$EventTime、$Hostname、$Severity、$EventID和$Message的字符串 $AccountName...
【网络资源学习笔记】Windows日志分析
最新发布
天在等我,菜鸟想飞
06-27 1102
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 3742
windows暴破事件日志
nxlog 日志采集
weixin_30773135的博客
11-20 1155
Nxlog 主要用于各业务后端服务的日志采集,windows环境和linux环境都支持。 RPM 包:rpm -ivh http://nxlog.co/system/files/products/files/1/nxlog-ce-2.9.1716-1_rhel6.x86_64.rpm 检测: rpm -qa |grep nxlog nglog 主要分两部分: Input In...
NtLmSsp 登录爆破防御办法 附修改RDP远程桌面3389端口方法
荒野求生的博客
11-16 6190
NtLmSsp 登录爆破防御办法 附修改RDP远程桌面3389端口方法 https://www.bnxb.com/winserver/27745.html 今天在系统日志中看到一堆尝试登录远程桌面失败的提示,内容类似下方 - EventData SubjectUserSid S-1-0-0 SubjectUserName - SubjectDomainName - SubjectLogonId 0x0 TargetUserSid S-1-0-0 TargetUserN...
基于SECI模型促进教师深度学习的培训路径分析及策略研究.pdf
08-18
基于SECI模型促进教师深度学习的培训路径分析及策略研究.pdf
大数据环境下基于SECI模型的动态知识创造与转化研究.pdf
07-07
大数据环境下基于SECI模型的动态知识创造与转化研究.pdf
基于SECI模型的网络数据挖掘系统优化设计.pdf
07-14
基于SECI模型的网络数据挖掘系统优化设计.pdf
python退出程序事件日志_Python处理Windows事件日志(json)
weixin_39619170的博客
12-03 125
通过NXlogWindows事件日志保存为json格式文件,然后在Python中使用json.loads()进行处理。NXlog在将Windows事件日志保存为json格式文件,文件中带入了BOM编码格式,所以需要使用decode("utf-8-sig")先对源数据进行处理,否则json.loads()会提示"No JSON object could be decoded" 错误文件中每一条事...
Windows日志分析场景(一)
ducc20180301的博客
07-08 795
免责声明:攻击复现场景均为本地搭建靶机测试环境,涉及复现方式相关,仅作个人拓展学习了解。 一、概述 计算机网络的安全性主要包括网络服务的可用性、网络信息的保密性和网络信息的完整性。数据时代的不断进步,也产生了一些安全问题。数据安全和设备安全更是网络安全中的两个重要内容。关于Windows主机的安全防护,大概分为以下几个方面:账户管理、本地策略、服务、网络协议、注册表管理、文件系统与权限、Windows系统自身安全。如何去发现Windows主机的一些潜在或者已经存在的威胁,以怎样的检测排查思路去分析。
nxlog管理配置linux,IIS服务器配置NXLog进行syslog转发(并解决GMT+8小时时差问题)...
weixin_42287030的博客
05-13 2381
NXLog是个跨平台日志传输插件,支持linux、windows平台的大部分系统日志及常见的web日志,支持tcp、udp、http(s)等协议传输。本文通过NXLog将IIS的日志以syslog的形式转发至日志审计服务器。一、系统环境操作系统:Window Server2012 R2 DataCenterIIS:8.5NXLog:nxlog-ce-2.10.2150二、NXLog的整体实现原理N...
解析win7/WinServer2008用户登录日志
weixin_34342207的博客
09-24 443
Logon Type 2 – Interactive This is what occurs to you first when you think of logons, that is, a logon at the console of a computer. You’ll see type 2 logons when a user attempts to log on at the lo...
Windows登录日志详解
weixin_33901641的博客
10-07 4619
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值