Window日志分析

Window日志分析0x01基本设置A、Windows审核策略设置前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。打开设置窗口WindowsServer

大家好,又见面了,我是你们的朋友全栈君。

 0x01 基本设置 

A、Windows审核策略设置

前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。

打开设置窗口

  Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图1所示;

  Windows Server 2003:开始 → 运行 → 输入 gpedit.msc 回车 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。

各项策略可按如下设置:

<span role="heading" aria-level="2">Window日志分析

B、查看Windows的系统操作记录日志的方法:

1、开始 → 管理工具 → 事件查看器

2、Win+R打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”。

<span role="heading" aria-level="2">Window日志分析

C、如何筛选

如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败

<span role="heading" aria-level="2">Window日志分析

 D、事件ID及常见场景

 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。

4624  --登录成功 4625  --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录

例如:

1、管理员登录

 使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672的事件产生。

<span role="heading" aria-level="2">Window日志分析

2、执行系统命令

Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子:

进程创建 C:\Windows\System32\cmd.exe 

进程创建 C:\Windows\System32\ipconfig.exe

进程终止 C:\Windows\System32\ipconfig.exe 

<span role="heading" aria-level="2">Window日志分析

 

3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?

net user  USER  PASSWORD /add
net localgroup administrators USER /add

<span role="heading" aria-level="2">Window日志分析

 0x02 日志分析工具

A、Log Parser

Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。

 Log Parser 2.2下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

分析案例:

管理员登录时间和登录用户名

C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT TimeGenerated
 as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where Eve ntID=4624"

<span role="heading" aria-level="2">Window日志分析

LogParser.exe -i:EVT –o:DATAGRID  “SELECT *  FROM c:\11.evtx where TimeGenerated>’2018-06-19 23:32:11′ and TimeGenerated<‘2018-06-20 23:34:00’ and EventID=4624”

RDP爆破使用的用户名及爆破次数:

C:\Program Files (x86)\Log Parser 2.2>LogParser.exe  -i:EVT "SELECT EXTRACT_TOKE
N(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) FROM c:\11.evtx w here EventID=4625 GROUP BY Message" user   COUNT(ALL EXTRACT_TOKEN(Message, 19, ' '))

<span role="heading" aria-level="2">Window日志分析

创建的进程过程:

LogParser.exe -i:EVT –o:DATAGRID  “SELECT TimeGenerated as Creationtime,EXTRACT_TOKEN(Strings,5,’|’) as Process  FROM c:\11.evtx where EventID=4688

 

 

 

最后

欢迎关注个人微信公众号:Bypass–,每周原创一篇技术干货。 

<span role="heading" aria-level="2">Window日志分析 

 

 参考链接:

取证实战:Windows日志分析

http://m.sohu.com/a/148102374_505860/?pvid=000115_3w_a

Winserver 2008事件日志-事件ID详解

https://blog.csdn.net/Jason_WangYing/article/details/62418008

常见登录类型日志分析

https://blog.csdn.net/zhulinu/article/details/52747984

Windows 7和Windows Server 2008 R2 安全事件的说明

https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

windows安全日志分析工具logparser用法详解

https://www.jb51.net/hack/384430.html

https://wenku.baidu.com/view/e86ad976e009581b6bd9ebcf.html

Powershell日志分析 

https://www.t00ls.net/articles-50631.html

 

 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/155626.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • TRILL

    TRILLTRILL  TRILL(TransparentInterconnectionofLotsofLinks)多链接半透明互联(TRILL)  在交换方面,IETF正在致力于多链接半透明互联(TRILL)标准的研究。IETF打算用该标准克服生成树协议(STP)在规模上和拓扑重聚方面存在的不足。在路由方面,IETF正在致力于制订位置标识与身…

    2022年10月22日
  • WIN-CE系统架构

    WIN-CE系统架构分为素部分:硬件层、OEM层、操作系统层、应用层http://hovertree.com/hvtart/bjae/oy9pqb94.htm硬件层:由CPU、存储器、I/

    2021年12月27日
  • MySQL的锁机制和加锁原理

    MySQL的锁机制和加锁原理MySQL的锁机制和加锁原理文章目录MySQL的锁机制和加锁原理1.行锁2.表锁3.页锁4.乐观锁和悲观锁4.1悲观锁4.2乐观锁5.MySQL/InnoDB中的行锁和表锁问题5.1InnoDB锁的特性6.RecordLock、GapLock、Next-keyLock锁6.1.RecordLock6.2.GapLock6.2.​1什么叫间隙锁6.2.2为什么说gap锁是RR隔离级别…

  • 通达OA工作流数据报表二次开发版

    通达OA工作流数据报表二次开发版此模块除具备工作流——数据报表所有功能外,新加入的功能包括:1:查询条件自带可查询未完成的流程;2:查询条件可设置查询所有子流程的字段;3:报表可显示流程当前处理人,并且点击每列可弹出当前流程表单详情。此模块支持最新2015版本,需要其他功能可定制开发。QQ:524668994

  • C++ 虚函数表解析[通俗易懂]

    C++ 虚函数表解析[通俗易懂]C++虚函数表解析 陈皓http://blog.csdn.net/haoel  前言 C++中的虚函数的作用主要是实现了多态的机制。关于多态,简而言之就是用父类型别的指针指向其子类的实例,然后通过父类的指针调用实际子类的成员函数。这种技术可以让父类的指针有“多种形态”,这是一种泛型技术。所谓泛型技术,说白了就是试图使用不变的代码来实现可变的算法。比如:模板技术,R

  • 详解java重定向和转发的区别

    详解java重定向和转发的区别重定向和转发有一个重要的不同:当使用转发时,JSP容器将使用一个内部的方法来调用目标页面,新的页面继续处理同一个请求,而浏览器将不会知道这个过程。与之相反,重定向方式的含义是第一个页面通知浏览器发送一个新的页面请求。因为,当你使用重定向时,浏览器中所显示的URL会变成新页面的URL,而当使用转发时,该URL会保持不变。重定向的速度比转发慢,因为浏览器还得发出一个新的请求。同时,由于重定向方式产生了一个新的请求,所以经过一次重定向后,request内的对象将无法使用。怎么选择是重定向还是转发呢?通常情况

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号