Windows日志分析(上)

最新推荐文章于 2024-04-22 09:20:50 发布
最新推荐文章于 2024-04-22 09:20:50 发布
阅读量3.4k 收藏 12
点赞数 2
文章标签: windows microsoft 服务器 威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43200882/article/details/127425676
版权

Windows日志分析(上)

在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。
多年来,微软不断提高其审计设施的效率和有效性。 现代 Windows 系统可以以最小的系统影响记录大量信息。
一般来说企业会选择一种工具来获取日志,这个工具叫做Security information and event management(SIEM)即安全,信息和事件管理。
在 Windows 系统上配置足够的日志记录,并在理想情况下将这些日志聚合到 SIEM 或其他日志聚合器中,能够确保我们在SIEM中的搜索语句找到自己想要的日志。

1. 事件日志格式

现代 Windows 系统默认以二进制 XML Windows 事件日志格式将日志存储在 %SystemRoot%\System32\winevt\logs 目录中,后缀名为.evtx 。也可以使用日志订阅远程存储日志。
事件可以记录在不同地方的日志当中,例如:安全、系统和应用程序事件,它们也可能出现在其他几个日志文件中。 安装程序事件日志记录安装 Windows 期间发生的活动。

  • Forwarded Logs 事件日志是记录从其他系统接收到的事件的默认位置。 但还有许多其他日志,列在事件查看器中的应用程序和服务日志下,记录与特定类型活动相关的详细信息。

  • Log Name(日志名称): 这是存储事件的事件日志的名称,当我们在同一个系统当中提取大量的日志的时候,会很有用(例如用作索引).

  • Source(源): 生成事件的服务(Services)、Microsoft的组件或者应用程序。

  • Event ID(事件ID): 分配给每个类型的审计活动的代码。

  • Level(级别): 分配给相关事件的严重性

  • User(用户):出发这个事件所涉及的用户或源。但是这个字段的用户通常表示的是系统而不是记录事件原因的用户。

  • OpCode: 由生成的日志的源来分配。

  • Logged: 记录事件的本地系统日期和事件

  • Task Category(任务分类): 由生成日志的源分配。

  • Keywords(关键字): 由源分配,用于对事件进行分组或者排序。

  • Computer(计算机): 记录事件的计算机。这个在我们检查多个计算机的日志的时候很有用,但是我们通常不会讲它作为导致事件的设备。一个经典的例子(当启动远程登录的时候-mstsc(Microsoft terminal services client)计算机字段扔回显示记录事件的系统的名称,不是连接的来源)

  • Description(描述): 记录了事件的附加信息,这个描述一般为安全分析师或者蓝队最重要的领域。

2. Windows日志分析的类型

  • 账户管理系统事件
  • 账户登录和登录事件
  • 常见的事件ID4768结果的代码
  • 登录事件类型以及代码说明
  • 常见的登录失败状态码
  • 访问共享对象(例如smb)
  • 计划任务日志
  • 对象访问审计
  • 审计政策变更
  • 审核Windows服务
  • 无线局域网(WLAN)审计
  • 过程跟踪
  • 附加程序执行记录
  • PowerShell审核

1. 账户管理系统事件

事件ID 描述 Description
4720 一个用户被创建了 A user account was created.
4722 一个用户被启用了 A user account was enabled.
4723 用户试图更改帐户的密码 A user attempted to change an account’s password.
4724 尝试重置帐户密码 An attempt was made to reset an account’s password.
4725 一个用户账户被禁用 A user account was disabled.
4726 一个账户被删除了 A user account was deleted.
4727 创建了一个启用安全性的全局组 A security-enabled global group was created.
4728 成员已添加到启用安全性的全局组 A member was added to a security-enabled global group.
4729 已从启用安全性的全局组中删除成员 A member was removed from a security-enabled global group.
4730 已删除启用安全性的全局组 A security-enabled global group was deleted.
4731 已创建启用安全性的本地组 A security-enabled local group was created.
4732 成员已添加到启用安全性的本地组 A member was added to a security-enabled local group.
4733 已从启用安全性的本地组中删除成员 A member was removed from a security-enabled local group.
4734 已删除启用安全性的本地组 A security-enabled local group was deleted.
4735 启用了安全性的本地组已更改 A security-enabled local group was changed.
4737 启用了安全性的全局组已更改 A security-enabled global group was changed.
4738 用户帐户已更改 A user account was changed.
4741 创建了一个计算机帐户 A computer account was created.
4742 一个计算机账户已被更改 A computer account was changed.
4743 一个计算机账户已被删除<
最低0.47元/天 解锁文章
持宠
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows日志事件ID列表(604个)
飞雪 SecurityBlog
06-08 1763
windows日志事件ID列表(604个)
Windows日志分析(中)
weixin_43200882的博客
10-24 2633
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。 ​ 多年来,微软不断提高其审计设施的效率和有效性。 现代 Windows 系统可以以最小的系统影响记录大量信息。 ​
windows日志一键分析小工具
02-02
windows 代码仅供参考学习! 写了个基于.net 4.0的LogParser Windows日志一键分析小工具。所以在使用得时候需要在相同目录放入LogParser.exe即可,使用得时候记得管理员权限运行 可以快速的进行一些日志分析,后续也会慢慢的进一步进行更新。可以帮助一些用户快速的针对服务器日志进行分析发现。 删除一些不必要规则,修复部分bug,优化实在丑的不行的UI。 增加开关机日志规则。 增加本地日志分析版本。先更新固定路径,路径为C:\log,需要把分析的evtx日志放到该目录下面。同时增加mssql爆破日志分析功能以及是否本机存在挖矿木马功能 修改了远程桌面日志显示其他登录类型,只显示rdp成功登录,不显示其他杂音
【每天学习一点新知识】Windows日志分析
RexHa的博客
03-24 7623
日志日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。主要目的:对攻击行为进行溯源定位攻击者的ip摸清攻击行为,对系统中的安全薄弱点进行加固针对性的进行漏洞加固。
应急响应实战笔记——日志分析篇:① Windows 日志分析
君逍遥o
03-27 2794
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Windows日志】记录系统事件的日志
第一天
10-14 1万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
Windows安全日志分析
安全狐
11-16 1万+
Windows日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
Windows取证篇】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 3996
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
Windows日志分析场景(一)
ducc20180301的博客
07-08 790
免责声明:攻击复现场景均为本地搭建靶机测试环境,涉及复现方式相关,仅作个人拓展学习了解。 一、概述 计算机网络的安全性主要包括网络服务的可用性、网络信息的保密性和网络信息的完整性。数据时代的不断进步,也产生了一些安全问题。数据安全和设备安全更是网络安全中的两个重要内容。关于Windows主机的安全防护,大概分为以下几个方面:账户管理、本地策略、服务、网络协议、注册表管理、文件系统与权限、Windows系统自身安全。如何去发现Windows主机的一些潜在或者已经存在的威胁,以怎样的检测排查思路去分析
windows日志分析工具
12-19
一个优秀的Windows日志分析工具应具备以下功能: 1. **实时监控**:实时显示新产生的日志事件,帮助用户快速响应问题。 2. **过滤和搜索**:允许用户根据关键字、事件ID、源或级别等条件筛选日志,快速定位问题。 3...
Windows日志外发配置
05-18
日志外发,即把Windows系统的事件日志发送到远程服务器或者第三方日志分析工具,有助于集中管理和分析来自多台计算机的日志数据,提高运维效率。"Windows日志外发配置"主要涉及到使用evntlog工具进行设置,下面我们...
Nginx日志分析工具2.1.0.zip
06-11
Nginx日志分析工具2.1.0是一款专为Windows平台设计的软件,用于高效地解析、统计和分析Nginx服务器产生的日志文件。Nginx作为一款高性能的Web服务器和反向代理服务器,广泛应用于各类网站和应用程序中。在日常运维...
rizhi.zip_ReadEVTDlg_windows日志_日志分析_系统日志
09-24
在IT领域,日志分析是一项至关重要的任务,它可以帮助我们诊断和解决系统、应用程序和网络安全问题。本主题主要关注的是Windows系统的日志分析,特别是如何使用ReadEVTDlg工具进行操作。ReadEVTDlg是一款用于读取和...
Windows系统日志
weixin_53696027的博客
01-11 7003
关于Windows日志简单解释和分析,以及日志分析工具的简单使用
Windows日志分析
最新发布
weixin_56233402的博客
04-22 3507
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Windows
m0_71326960的博客
01-15 560
Windows渗透测试,Windows信息收集
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
Window日志分析
weixin_45116657的博客
10-28 1799
一、Windows事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时...
【网络资源学习笔记】Windows日志分析
天在等我,菜鸟想飞
06-27 1090
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
指导我如何使用APT-hunter分析windows日志
03-27
APT-Hunter是一款用于检测APT攻击的工具,它可以分析Windows系统日志中的异常行为并自动识别可能的APT攻击。下面是使用APT-Hunter分析Windows日志的步骤: 1. 安装APT-Hunter 在Github上下载APT-Hunter的源代码,然后解压缩到你的电脑上。接下来,打开命令行窗口,进入APT-Hunter的目录,运行以下命令安装依赖项: ``` pip install -r requirements.txt ``` 2. 收集Windows日志Windows系统中,打开事件查看器,选择Windows日志,然后选择“安全”日志。在右侧的窗口中,你将看到所有的安全事件。选择你想要分析的事件,并将其保存为.evtx文件。 3. 分析Windows日志 打开命令行窗口,进入APT-Hunter的目录,运行以下命令对.evtx文件进行分析: ``` python APT-Hunter.py -f <path_to_evtx_file> ``` 其中,`<path_to_evtx_file>`是你保存的.evtx文件的路径。 4. 查看APT-Hunter的输出结果 APT-Hunter将分析.evtx文件并输出可能的APT攻击的详细信息。你可以查看输出结果以了解可能的攻击者,攻击类型和攻击目标等信息。 总之,使用APT-Hunter分析Windows日志需要一些技术知识和经验,如果你不确定如何操作,最好请一位专业人士来帮忙。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值