windows日志审计
简介
运行 eventvwr 命令,打开事件查看器,查windows 日志,分析windows 日志时,主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。
Windows日志
分析windows日志,查看rdp、ipc等各种登录验证情况时主要分析的内容之一,下面图标中的内容是windows 日志中登录类型以及事件ID的代表含义代表的含义。
登录类型中较为重要的是网络、网络明文、以及远程交互三种类型,网络最常见的情况就是连接到共享文件夹(IPC)或共享打印机,网络明文的话有ftp,telent等,远程交互就是通过终端服务、远程桌面或远程协助访问计算机。。
常见日志审计中事件ID 代表的含义
系统日志分析
直接在系统上分析,使用时间查看器中的筛选,对日志进行筛选,审计,直接在面板中输入筛选的条件即可,但是感觉不是太好用,通过xml的筛选也有点玩不来。
使用工具
WinLogView
可以使用WinLogView工具,会列出系统中所有曾经登陆过的主机,包含本地登陆和远程登陆,针对原有的用户需要注意用户的登陆时间段是否在工作时间段内。快速定位恶意IP地址
FullEventLogView
使用FullEventLogView加载主机日志,还能进行筛选,还算比较好用.
Log Parser 使用
Log Parser是微软公司出品的日志分析工具,用来分析Windows日志相当合适
使用这个工具前,首先将windows的日志导出保存
然后通过SQL语法进行查询就好了
基础查询格式
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM E:\logparser\xx.evtx"
这是一则基本的查询,输入格式是EVT(事件),输出格式是DATAGRID(网格),然后是SQL语句,查询E:\logparser\xx.evtx的所有字段,结果呈现为网格的形式;
下面是较为常用的查询语句,结合常用事件ID以及登录类型等,基本可以应付windows日志的查看,
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"指定登录时间范围的事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"提取登录成功的用户名和IP
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"登录失败的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"提取登录失败用户名进行聚合统计
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"查询开关机记录
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"
参考
https://blog.csdn.net/weixin_41073877/article/details/112917207
https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html
windows日志审计相关推荐
- 服务器导出连接日志文件,Windows文件共享日志审计功能及输出到syslog服务器
开启文件共享日志审计 1.在文件共享的目录上右键->安全->高级->审核 2.添加,主体选择Authenticacted Users或者Everyone,勾选如下权限,然后确定 3. ...
- windows服务器审计日志存放位置,windows服务器审计日志存放位置
windows服务器审计日志存放位置 内容精选 换一换 Manager的审计日志默认保存在数据库中,如果长期保留可能引起数据目录的磁盘空间不足问题,管理员如果需要将审计日志保存到其他归档服务器,可以在 ...
- 服务器系统日志怎么拷贝,Windows系统如何将日志发给日志审计服务器?
您好,请知: 使用Nxlog将Windows日志以syslog形式发送至日志Syslog服务器 nxlog下载地址:https://download.csdn.net/download/c105298 ...
- 用Syslog 记录UNIX和Windows日志的方法
用Syslog 记录UNIX和Windows日志的方法 在比较大规模的网络应用或者对安全有一定要求的应用中,通常需要对系统的日志进行记录分类并审核,默认情况下,每个系统会在本地硬盘上记录自己的日志,这 ...
- 安全审计——等级保护日志审计要求的一种解决方案
前言 在网络安全等级保护中,对日志有着一系列的要求,通常以部署日志审计系统来满足等保的要求,此处我们选择syslog来实现日志的集中收集,统一管理. 等级保护要求 在这里我们主要目标是 ...
- Windows日志分析(中)
Windows日志分析宝典|事件响应指南(中) 前排提示: 使用手机预览的时候, 横屏预览更佳~ 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供 ...
- Windows日志浅析
Windows日志从Windows2000版本后共包括9种审计策略,共分为:帐户登录.登录.对象访问.目录服务访问.进程追踪.特权使用.帐户管理.策略变更.系统事件9大类. 1) 帐户登录:其实是对登 ...
- Windows日志分析(上)
Windows日志分析(上) 在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源.用户名.计算机.事件类型和级别等详细信息,并显示应用程序和系统 ...
- 【每天学习一点新知识】Windows日志分析
一.日志分析概述 日志:日志文件为服务器.工作站.防火墙和应用软件等IT资源相关活动记录必要的.有价值的信息.日志文件中的记录可以提供以下用途:监控系统资源:审计用户行为:对可疑行为进行告警:确定入侵 ...
最新文章
- 比特币现金压力测试结果:处理210万笔交易 费用不增反降
- 如何获取filecoin_Filecoin如何获取更大的出块机会?
- 王道计算机网络 数据链路层整理 超详细版
- ecshop根目录调用_ECSHOP各文件夹功能说明
- django admin下拉列表不显示值,显示为object的处理
- 《Unix网络编程》环境搭建
- 英文版一元购源码开发解析
- 在线预览CAD 在线预览office 在线预览3D模型
- android实现半透明属性,Activity透明/半透明效果的设置transparent(两种实现方法)
- java.exe 0xc000012d_应用程序无法正常启动 0xc000012d
- 软件架构设计入门学习
- python 正则re模块 group() groups()
- 用HLM软件做跨层中介效应检验的一些缺点
- 开发一款APP都有哪些流程?
- Python实现草莓熊手拿风车和鲜花
- 尼尔机器人技能快捷键_《尼尔:机械部队》组合按键技能使用攻略
- UML---序列图/时序图/顺序图
- 给一个不多于5位的正整数,要求:一、求它是几位数,二、逆序打印出各位数字。
- 关于印发《测绘地理信息质量管理办法》的通知
- 一步步学习SPD2010--第一章节--探索SPD2010(4)--使用SharePoint Designer创建站点