1.1Windows日志核心分类
1.系统日志
系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。
2.应用程序日志
应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。
3.安全日志
安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。
4.其他常见日志(依赖服务配置)
PowerShell日志:需启用模块/脚本块日志(需组策略或注册表配置)。
WWW/FTP日志:由IIS等服务器生成,记录Web请求或文件传输活动。
DNS日志:记录DNS查询/响应,需在DNS服务器角色中启用。
1.2Windows日志文件存储路径
1. 旧版本系统(Windows 2000/XP/Server 2003)
路径: %SystemRoot%\System32\Config\,文件格式: .evt
典型日志文件:
SysEvent.evt(系统日志)
AppEvent.evt(应用程序日志)
SecEvent.evt(安全日志)
2. 新版本系统(Windows Vista/7/10/Server 2008及更高)
路径: %SystemRoot%\System32\winevt\Logs\,文件格式: .evtx(XML格式,兼容性更强)
典型日志文件:
System.evtx(系统日志)
Application.evtx(应用程序日志)
Security.evtx(安全日志)
Setup.evtx(系统安装日志)
ForwardedEvents.evtx(转发事件日志)
1.3日志管理机制
1.服务管理
由EventLog服务(通过services.exe管理)生成日志,路径通常为%SystemRoot%\System32\winevt\Logs。
2.默认设置
单一日志大小上限20MB,满时默认覆盖最旧记录(可调整为存档或手动清除)。
3.覆盖策略选项
覆盖旧事件(默认)| 按日期覆盖(如30天以上)| 手动清除(需管理员干预)。
4.运行eventvwr
通过WIN+R键调出运行界面后,在界面中执行eventvwr,可打开windows日志管理器,选择安全项即可查看windows系统安全日志。
1.4 Windows日志类型与事件ID及登录类型
1.事件ID
事件ID是Windows日志的基本属性之一,通过事件ID可以分析事件类型,以下是常见的几种事件ID
事件ID | 说明 | 事件ID | 说明 |
1102 | 清理审计日志 | 4720 | 创建用户 |
4624 | 账号成功登录 | 4726 | 删除用户 |
4625 | 账户登录失败 | 4728 | 一个成员被添加到启用安全的全局组中。 |
4768 | 已请求 Kerberos 身份验证票证 (TGT)。 | 4729 | 成员已从启用安全的全局组中删除。 |
4771 | Kerberos 预身份验证失败。 | 4732 | 一个成员被添加到启用安全的本地组。 |
4772 | Kerberos 身份验证票证请求失败。 | 4733 | 成员已从启用安全的本地组中删除。 |
4769 | 已请求 Kerberos 服务票证。 | 4634 | 帐户已注销。 |
4776 | 域控制器尝试验证帐户的凭据。 | 4756 | 一个成员被添加到启用安全的通用组。 |
4770 | 更新了 Kerberos 服务票证。 | 4672 | 分配给新登录的特殊权限。 |
4672 | 分配给新登录的特殊权限。 | 4757 | 成员已从启用安全的通用组中删除。 |
5156 | 出站连接记录 | 4719 | 系统审核策略已更改。 |
4698 | 已创建计划任务。 | 5158 | 入站连接记录 |
4699 | 计划任务被删除。 | 4702 | 已更新计划任务。 |
4700 | 已启用计划任务。 | 4688 | 已创建新进程。 |
4701 | 计划任务被禁用。 | 4689 | 一个进程已经退出。 |
其中需要重点关注的有4624,4625,4720,4726,4700,1102等。
2.登录类型
分析用户登录记录的时候就会发现,在Windows系统的安全日志中,有一个“登录类型”的说明。其实这个登陆类型就是记录了用户登录到Windows系统的方式,以下简单介绍几种常见的:
登录类型 | 描述 | 说明 |
2 | 交互式登录(Interactive) | 用户在本地进行登录。 |
3 | 网络(Network) | 最常见的情况就是连接到共享文件夹或共享打印机时。 |
4 | 批处理(Batch) | 通常表明某计划任务启动。 |
5 | 服务(Service) | 每种服务都被配置在某个特定的用户账号下运行。 |
7 | 解锁(Unlock) | 屏保解锁。 |
8 | 网络明文 | 登录的密码在网络上是通过明文传输的,如FTP。 |
9 | 新凭证 | 使用带/Netonly参数的RUNAS命令运行一个程序。 |
10 | 远程交互 | 通过终端服务、远程桌面或远程协助访问计算机。 |
11 | 缓存交互 | 以一个域用户登录而又没有域控制器可用。 |
3.子状态码
4625登录失败日志会存在子状态码的属性,通过改属性,我们可以对登录失败原因进行分析
地位和子状态码 | 描述(针对失败的原因的检查) |
0xc0000064 | 用户名不存在 |
0xc000006a | 用户名是正确的,但密码是错误的 |
0xc0000234 | 用户当前锁定 |
0xc0000072 | 帐户目前禁用 |
0xc000006f | 用户试图登录天的外周或时间限制 |
0xc0000070 | 工作站的限制 |
0xc0000193 | 帐号过期 |
0xc0000071 | 过期的密码 |
0xc0000133 | 时钟之间的直流和其他电脑太不同步 |
0xc0000224 | 在下次登录用户需要更改密码 |
0xc0000225 | 显然一个缺陷在Windows和不是一个风险 |
0xc000015b | 没有被授予该用户请求登录类型(又名登录正确的)在这台机器 |
0xc000006d | 似乎是由于系统问题和不安全 |
1.5 实战案例:攻击行为与异常检测
1.远程桌面登录检查
(1)筛选事件ID4624
(2)按照时间顺序查看筛选事件ID记录
需要重点查看4624事件ID中非本人登录审核成功的时间及记录
(3)查看详细登录信息
在记录中,可以对详细信息进行查看,可以是友好视图和XML视图查看。
2.暴力破解攻击检测
(1)查看安全日志(事件ID 4625)。
(2)统计高频失败登录的源IP与目标账户。
(3)结合时间分布判断是否为自动化攻击。
状态码0xc000006a表示用户名是正确的,但密码是错误的,意味着密码暴力破解。
PowerShell命令:
Get-WinEvent -LogName Security | Where-Object {$_.ID -eq 4625} | Group-Object -Property {$_.Properties[18].Value} | Sort-Object -Descending Count
3.检查新帐号创建及删除
在安全日志4720中可以查看攻击者创建的用户,即使是隐藏用户都可以查看到。4726则是可以查看到被删除的用户。该事件日志中还可以查看该任务的发起者。
(1)查看用户添加情况(4720)
ps代码:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4720; StartTime=(Get-Date).AddHours(-24)} |
Format-List TimeCreated, Message
4728 已向启用了安全性的全局组中添加某个成员。
4720 已创建用户帐户。
4722 已启用用户帐户。
4738 已更改用户帐户。
4732 已向启用了安全性的本地组中添加某个成员。
(2)查看用户删除情况(4726)
删除账户会有以下日志生成,其中4726日志是删除账户产生的日志
4733 已从启用了安全性的本地组中删除某个成员。
4729 已从启用了安全性的全局组中删除某个成员。
4726 已删除用户帐户。
1.6Windows日志分析工具
https://github.com/Fheidt12/Windows_Log
RDP登录
1.7 日志管理最佳实践
日志保留策略
设置日志大小上限与存档策略(避免日志被覆盖)。
安全加固
限制日志访问权限(仅允许管理员和审计角色访问)。
启用日志加密与完整性保护(如Windows Event Forwarding签名)。
合规性要求
符合GDPR、PCI-DSS等法规的日志保留周期(如6个月以上)。
参考文章:
https://mp.weixin.qq.com/s/eCv-rp2Ohxa3ACd3RvMZ_Q
https://mp.weixin.qq.com/s/36R3KGYNSDy6HTbEDiCMkQ
windows日志导出成为表格的工具 :Logparse
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://www.hqyman.cn/post/11029.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~