日志分析

Windows三类日志记录系统事件

  • 应用程序日志

  • 系统日志

  • 安全日志

系统日志

记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认位置:

$ %SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 默认位置:

$ %SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 默认位置:

$ %SystemRoot%\System32\Winevt\Logs\Security.evtx

审核策略

审核策略开启后可以查看系统出现故障、安全事故等系统日志文件,帮助排除故障,追查入侵者的信息等。

打开

开始 --> 管理工具 --> 本地安全策略 --> 本地策略 --> 审核策略 配置:

审核账户管理|||成功,失败
审核账户登录事件||成功,失败
审核系统事件||||成功,失败
审核特权使用|||失败
审核目录服务访问||失败
审核进程跟踪|||成功,失败
审核对象访问|||失败
审核登录事件|||成功,失败
审核策略更改|||成功,失败

配置日志属性

开始 --> 所有程序 --> 管理工具 --> 事件查看器 --> Windows日志 --> 应用程序 --> 右键属性 --> 启用日志最大大小

系统日志

查看

方法一

开始 --> 所有程序 --> 管理工具 --> 事件查看器

方法二

运行 --> eventvwr.msc

分析

Windows事件日志分析,不同的EVENT ID代表了不同的意义。

事件ID

说明

4624

登录成功

4625

登录失败

4634

注销成功

4647

用户启动的注销

4672

使用超级用户(如管理员)进行登录

4720

创建用户

每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:

登录类型

描述

说明

2

交互式登录(Interactive)

用户在本地进行登录。

3

网络(Network)

最常见的情况就是连接到共享文件夹或共享打印机时。

4

批处理(Batch)

通常表明某计划任务启动。

5

服务(Service)

每种服务都被配置在某个特定的用户账号下运行。

7

解锁(Unlock)

屏保解锁。

8

网络明文(NetworkCleartext)

登录的密码在网络上是通过明文传输的,如FTP。

9

新凭证(NewCredentials)

使用带/Netonly参数的RUNAS命令运行一个程序。

10

远程交互,(RemoteInteractive)

通过终端服务、远程桌面或远程协助访问计算机。

11

缓存交互(CachedInteractive)

以一个域用户登录而又没有域控制器可用

日志分析工具

Log Parser

Log Parser下载地址

分析

查询登录成功的事件

# 登录成功的所有事件
$ LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4624"
# 指定登录时间范围的事件
$ LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
# 提取登录成功的用户名和IP
$ LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

查询登录失败的事件

# 登录失败的所有事件
$ LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4625"
# 提取登录失败用户名进行聚合统计
$ LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"

系统历史开关机记录

$ LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

LogParser Lizard

LogParser Lizard

Event Log Explorer

Event Log Explorer

Previous服务Next相关工具

Last updated