莆田网站开发,wordpress后台打开太慢,手机上怎么安装wordpress,北京广告公司聚集地目录
第1篇:Windows日志分析
0x01 Windows事件日志简介
0X02 审核策略与事件查看器
0x03 事件日志分析
0x04 日志分析工具
Log Parser
LogParser Lizard
Event Log Explorer 第1篇:Windows日志分析
0x01 Windows事件日志简介
Windows系统日志是记录系统中硬件、软件和…目录
第1篇:Windows日志分析
0x01 Windows事件日志简介
0X02 审核策略与事件查看器
0x03 事件日志分析
0x04 日志分析工具
Log Parser
LogParser Lizard
Event Log Explorer 第1篇:Windows日志分析
0x01 Windows事件日志简介
Windows系统日志是记录系统中硬件、软件和系统问题的信息同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件应用程序日志、系统日志和安全日志。
系统日志
记录操作系统组件产生的事件主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。默认位置 %SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
包含由应用程序或系统程序记录的事件主要记录程序运行方面的事件例如数据库程序可以在应用程序日志中记录文件错误程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况那么我们可以从程序事件日志中找到相应的记录也许会有助于你解决问题。 默认位置%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志
记录系统的安全审计事件包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下安全性日志是关闭的管理员可以使用组策略来启动安全性日志或者在注册表中设置审核策略以便当安全性日志满后使系统停止响应。默认位置%SystemRoot%\System32\Winevt\Logs\Security.evtx
系统和应用程序日志存储着故障排除信息对于系统管理员更为有用。 安全日志记录着事件审计信息包括用户验证登录、远程访问等和特定用户在认证后对系统做了什么对于调查人员而言更有帮助。
0X02 审核策略与事件查看器
Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 建议开启审核策略若日后系统出现故障、安全事故则可以查看系统的日志文件排除故障追查入侵者的信息等。
PS默认状态下也会记录一些简单的日志日志默认大小20M
设置1开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略参考配置操作 设置2设置合理的日志属性即日志最大大小、事件覆盖阀值等 查看系统日志方法 在“开始”菜单上依次指向“所有程序”、“管理工具”然后单击“事件查看器” 按 WindowR输入 ”eventvwr.msc“ 也可以直接进入“事件查看器” 0x03 事件日志分析
对于Windows事件日志分析不同的EVENT ID代表了不同的意义摘录一些常见的安全事件的说明
事件ID说明4624登录成功4625登录失败4634注销成功4647用户启动的注销4672使用超级用户如管理员进行登录4720创建用户
每个成功登录的事件都会标记一个登录类型不同登录类型代表不同的方式
登录类型描述说明2交互式登录Interactive用户在本地进行登录。3网络Network最常见的情况就是连接到共享文件夹或共享打印机时。4批处理Batch通常表明某计划任务启动。5服务Service每种服务都被配置在某个特定的用户账号下运行。7解锁Unlock屏保解锁。8网络明文NetworkCleartext登录的密码在网络上是通过明文传输的如FTP。9新凭证NewCredentials使用带/Netonly参数的RUNAS命令运行一个程序。10远程交互RemoteInteractive通过终端服务、远程桌面或远程协助访问计算机。11缓存交互CachedInteractive以一个域用户登录而又没有域控制器可用
关于更多EVENT ID详见微软官方网站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的说明”。 原文链接 https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008 案例1可以利用eventlog事件来查看系统账号登录情况 在“开始”菜单上依次指向“所有程序”、“管理工具”然后单击“事件查看器” 在事件查看器中单击“安全”查看安全日志 在安全日志右侧操作中点击“筛选当前日志”输入事件ID进行筛选。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户如管理员进行登录
我们输入事件ID4625进行日志筛选发现事件ID4625事件数175904即用户登录失败了175904次那么这台服务器管理员账号可能遭遇了暴力猜解。 案例2可以利用eventlog事件来查看计算机开关机的记录
1、在“开始”菜单上依次指向“所有程序”、“管理工具”然后单击“事件查看器”
2、在事件查看器中单击“系统”查看系统日志
3、在系统日志右侧操作中点击“筛选当前日志”输入事件ID进行筛选。
其中事件ID 6006 ID6005、 ID 6009就表示不同状态的机器的情况开关机。 6005 信息 EventLog 事件日志服务已启动。(开机) 6006 信息 EventLog 事件日志服务已停止。(关机) 6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
我们输入事件ID6005-6006进行日志筛选发现了两条在2018/7/6 17:53:51左右的记录也就是我刚才对系统进行重启的时间。 0x04 日志分析工具
Log Parser
Log Parser是微软公司出品的日志分析工具它功能强大使用简单可以分析基于文本的日志文件、XML 文件、CSV逗号分隔符文件以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据甚至可以把分析结果以各种图表的形式展现出来。
Log Parser 2.2下载地址https://www.microsoft.com/en-us/download/details.aspx?id24659
Log Parser 使用示例Log Parser Rocks! More than 50 Examples! | LichtenBytes 基本查询结构
Logparser.exe –i:EVT –o:DATAGRID SELECT * FROM c:\xx.evtx
使用Log Parser分析日志
1、查询登录成功的事件
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID SELECT * FROM c:\Security.evtx where EventID4624指定登录时间范围的事件
LogParser.exe -i:EVT –o:DATAGRID SELECT * FROM c:\Security.evtx where TimeGenerated2018-06-19 23:32:11 and TimeGenerated2018-06-20 23:34:00 and EventID4624提取登录成功的用户名和IP
LogParser.exe -i:EVT –o:DATAGRID SELECT EXTRACT_TOKEN(Message,13, ) as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,|) as Username,EXTRACT_TOKEN(Message,38, ) as Loginip FROM c:\Security.evtx where EventID4624
2、查询登录失败的事件
登录失败的所有事件
LogParser.exe -i:EVT –o:DATAGRID SELECT * FROM c:\Security.evtx where EventID4625提取登录失败用户名进行聚合统计
LogParser.exe -i:EVT SELECT EXTRACT_TOKEN(Message,13, ) as EventType,EXTRACT_TOKEN(Message,19, ) as user,count(EXTRACT_TOKEN(Message,19, )) as Times,EXTRACT_TOKEN(Message,39, ) as Loginip FROM c:\Security.evtx where EventID4625 GROUP BY Message 3、系统历史开关机记录
LogParser.exe -i:EVT –o:DATAGRID SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID6005 or EventID6006LogParser Lizard
对于GUI环境的Log Parser Lizard其特点是比较易于使用甚至不需要记忆繁琐的命令只需要做好设置写好基本的SQL语句就可以直观的得到结果。
下载地址Log Parser Lizard: Advanced SQL Analysis for Log Files
依赖包Microsoft .NET Framework 4 .5下载地址https://www.microsoft.com/en-us/download/details.aspx?id42642
查询最近用户登录情况 Event Log Explorer
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看监视和分析跟事件记录包括安全系统应用程序和其他微软Windows 的记录被记载的事件其强大的过滤功能可以快速的过滤出有价值的信息。
下载地址Event Log Explorer - Download 参考链接
Windows日志分析 第三十一期 取证实战篇-Windows日志分析
