【每天学习一点新知识】Windows日志分析-程序员宅基地
技术标签: 学习 每天学习一点新知识 运维 Powered by 金山文档 windows
一、日志分析概述
日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可以提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。
主要目的:对攻击行为进行溯源
定位攻击者的ip
摸清攻击行为,对系统中的安全薄弱点进行加固
针对性的进行漏洞加固
二、Windows系统日志分析
系统日志System.evtx:记录系统中硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因或者寻找受到攻击时攻击者留下的痕迹
日志的默认位置为:C:\Windows\System32\winevt\Logs\System.evtx
应用程序日志Application.evtx:记录程序在运行过程中的日志信息
日志的默认位置为:C:\Windows\System32\winevt\Logs\Application.evtx
安全日志Security.evtx:登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更、系统事件。
日志的默认位置为:C:\Windows\System32\winevt\Logs\Security.evtx
打开日志审计策略功能
win+R--->gpedit.msc
在默认情况下,安全日志仅记录一些简单的登录日志,否则占用的使用空间过大。如果需要记录详细的安全日志,则需要通过修改本地策略来启用其它项的安全日志记录功能。
win10家庭版打不开,可以参考下面的文章(注意在保存bat文件时把编码改成ANSI)
https://zhuanlan.zhihu.com/p/381084692
查看系统日志
win+R--->eventvwr
或者直接搜索“事件查看器”
事件日志分析
·日志清除记录——ID:1102
清空安全日志(需要有System权限)
通过cmd清除:
win+R--->wevtutil cl “logname(日志名)”
·出站入站记录——ID:5156、5158
远程连接:
win+R--->mstsc
每一对5156和5158的事件间隔为5s,这是载荷的定时回连操作,目的是keep alive 和get task
·账户管理记录——ID:4720(可以查找到创建的用户,隐藏的用户也可以查找到)、4726(可以查找到删除的用户)
添加隐藏用户:net user attack$ Aa123456 /add
删除隐藏用户:net user attack$ /del
创建用户组:net logalgroup group1 /add
查看用户组: net user
·安全组管理记录——ID:4732(查看创建的用户加入了哪个组)、4733(查看用户从哪个组中被移除了)
·账户行为记录——ID:4624、4634、4625
4624:用户登录
4634:用户注销
4625:登录失败
·凭证验证记录——ID:4776
凭证验证是指,当你要去访问目标主机的FTP、Samba服务时,目标主机会发起验证请求,要求你输入用户名和密码。日志会详细的记录登录者的工作站、登录账户信息。
·计划任务事件——ID:4698、4699、4700、4701、4702
在该事件记录信息中,计划任务schtasks以及at都会被记录在内:包括创建者、任务名称、任务内容等。
4698:计划任务已创建
4700:计划任务已启用
4701:计划任务已停用
4702:计划任务已变更
·进程创建及终止记录——ID:4688、4689
要记录该日志,需要编辑本地审计策略后重启计算机(上面有讲如何开启策略),重启后便可记录每一个被启动的进程日志,包括软件进程。
可以根据事件的ID进行筛选
事件id汇总
https://zhuanlan.zhihu.com/p/366530900
三、日志审计工具
Log Parser
下载地址
https://www.microsoft.com/en-us/download/details.aspx?id=24659
可以分析操作系统的事件日志、注册表、文件系统、Active Directory、IIS。它可以像使用SQL语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
使用格式
LogParser –i:输入文件的格式 –o:想要输出的格式 “SQL语句”例如
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM C:\Windows\System32\winevt\Logs\Security.evtx where EventID=4624”sql语句用EXTRACT_TOKEN(<字段>,<所需的内容位置>,<分割的字符>)进行分割
LogParser.exe -i:EVT –o:DATAGRID
“SELECT TimeGenerated as LoginTime,
EXTRACT_TOKEN(Strings,18,'|') as 源地址,
EXTRACT_TOKEN(Strings,19,'|') as 源端口,
EXTRACT_TOKEN(Strings,5,'|') as Username FROM
C:\Users\Admin\Desktop\log.evtx where EventID=4624”Event Log Explorer
下载地址: https://event-log-explorer.en.softonic.com/
Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系统,应用程序和其他微软Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
智能推荐
sentinel springboot版本 使用_springboot 和sentinel对应版本号-程序员宅基地
文章浏览阅读1.9k次。pom<dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-sentinel</artifactId> <version>0.9.0.RELEASE<..._springboot 和sentinel对应版本号
人工智能-即将引发创业热潮-程序员宅基地
文章浏览阅读197次。自2017年7月国务院发布《新一代人工智能发展规划》并提出三步走规划以来,已先后有多个省市出台相应的政策措施。 Python,最接近人工智能的语言!将被纳入高考内容! 浙江省信息技术课程改革方案已经出台,Python确定进入浙江省信息技术高考,从2018年起浙江省信息技术教材编程..._人工智能创业潮
ideaSSM 高校公寓交流员管理系统bootstrap开发mysql数据库web结构java编程计算机网页源码maven项目-程序员宅基地
文章浏览阅读1.3k次,点赞19次,收藏25次。一、源码特点idea 开发 SSM 高校公寓交流管理系统是一套完善的信息管理系统,结合SSM框架和bootstrap完成本系统,对理解JSP java编程开发语言有帮助系统采用SSM框架(MVC模式开发),系统具有完整的源代码和数据库,系统主要采用B/S模式开发。前段主要技术 bootstrap.css jquery后端主要技术 SpringMVC spring mybatis数据库 mysql开发工具 IDEA JDK1.8 TOMCAT 8.5。
C语言实现顺序表_顺序表c语言实现-程序员宅基地
文章浏览阅读1.6k次,点赞36次,收藏39次。1.2 SeqList.c1.3 test.c二、顺序表的实现2.1 顺序表创建一个顺序表结构体,成员包含顺序表地址、长度、大小,用于创建顺序表变量。 将顺序表变量的地址传参,通过指针接收对顺序表的顺序表数组初始化为空,长度为0,大小为0。同样传地址,要先断言指针是否为空,不然会出异常。然后判断顺序表大小是否为0,为0则代表顺序表中没有有效元素,打印提示,并返回函数,如果大于0,则有元素,从下标0开始,打印size个顺序表元素,并用空格相隔。当我们结束程序_顺序表c语言实现
谈谈ChatGPT对中国教育的影响与挑战,我们该怎么办?_chatgpt对教育的弊端-程序员宅基地
文章浏览阅读1.8k次。他们需要制定明确的指导政策,提供必要的培训资源,保护学生数据隐私,定期评估和收集反馈,以及推广批判性思维和信息素养的教育。他们需要教育学生如何正确使用这个工具,鼓励他们自主学习,监管他们的使用行为,教育他们保护数据隐私和安全,以及提供充足的社交环境。ChatGPT可以用作一个强大的辅助学习工具,帮助学生理解复杂的概念,解答疑难问题,或者为他们的学习提供个性化的建议。在一些资源匮乏的地区,这可能是一个挑战。家长需要监督孩子的ChatGPT使用情况,确保他们在使用这个工具的同时,也在进行其他重要的学习活动。_chatgpt对教育的弊端
vuepress 打包 :window is not defined_vuepress的config.js打包报错referenceerror: window is no-程序员宅基地
文章浏览阅读1.8k次。vuepress 打包报错 :window is not defined_vuepress的config.js打包报错referenceerror: window is not defined at useconfi
随便推点
How Firewalls (Security Gateways) Handle the Packets? (Traffic Flow)-程序员宅基地
文章浏览阅读167次。Different firewall (security gateway) vendor has different solution to handle the passing traffic. This post compiles some useful Internet posts that interpret major vendors’ solutions including:1. C..._traffic@flow: nat:
基础设施即代码(Infrastructure as Code)-程序员宅基地
文章浏览阅读4.3k次,点赞2次,收藏7次。Infrastructure as Code(IaC)是一种IT基础设施管理流程,它将DevOps软件开发的最佳实践应用于云基础设施资源的管理。_infrastructure as code
Android二维码的创建、解析及NotFoundException_no multiformat readers were able to detect the cod-程序员宅基地
文章浏览阅读1.8k次。本篇博客主要记录一下Android生成及解析二维码的基本方法, 同时记录一下遇到的NotFoundException及对应解决方法。_no multiformat readers were able to detect the code.
java里nim游戏问题_使用Minimax算法的NIM游戏和AI玩家 - AI会失去动作-程序员宅基地
文章浏览阅读182次。我已经完成了与人类玩家和AI玩家一起编写NIM游戏的任务 . 该游戏是“Misere”(最后一个必须选择一根棒) . 人工智能应该是使用Minimax算法,但它正在进行移动,使其失去更快,我无法弄清楚为什么 . 我已经连续几天走到了尽头 . Minimax算法的目的是不输,如果它处于失败状态,延迟失去尽可能多的动作,对吧?考虑以下:NIMBoard board =新的NIMBoard(34,2)..._nim的 misere版本
MyBatis 中常用的 Mapper 相关注解和技巧,包括 @Select/@Insert/@Update/@Delete 和 @Options,并给出一些常见的优化方法_mapper @select-程序员宅基地
文章浏览阅读1.6k次。Mapper 是 MyBatis 中的一个重要概念,它用于封装复杂的 SQL 和参数映射关系,降低数据访问层与业务逻辑层之间的耦合度,方便后期维护和扩展。本系列教程主要基于 MyBatis3.x版本进行讲解,对 MyBatis-spring、MyBatis-mybatis、MyBatis-generator 等其他框架也会有所涉及。在 MyBatis 中,Mapper 是一个接口,这个接口提供了若干个方法,这些方法对应了我们执行数据库操作时需要执行的 SQL 语句或存储过程。_mapper @select
day01:Python安装详细教程_python 安装详细教程 csdn-程序员宅基地
文章浏览阅读35次。2023年最新Python安装详细教程。_python 安装详细教程 csdn