當windows服務器遭到入侵時,在運行過程中經常需要檢索和深入分析相應的安全日誌。除安全防護設備外,系統軟件內置系統日誌是調查取證的關鍵材料,但此類系統日誌數量非常龐大,須要對windows安全日誌開展合理深入分析,以獲取我們需要的有用信息,這一點尤爲重要。本文詳細介紹了windows的系統日誌種類,存儲具體位置,檢索方式,以及使用工具的方便檢索。
系統日誌信息在windows系統軟件運行過程中會不斷地被記錄,依據記錄的種類能夠分成系統日誌、IIS系統日誌、ftp客戶端系統日誌、數據庫系統日誌、郵件服務系統日誌等。活動記錄,WindowsEventLog文件實際上是以一種特殊的數據結構存儲內容,包含關於系統軟件、安全性、應用軟件的記錄。在每一個記錄事件的數據結構中包含9個要素(這能夠理解爲數據庫中的字段):日期/時間、事件種類、用戶、計算機、事件ID、源、類別、說明、數據等等。操作員能夠通過系統日誌調查取證,瞭解到計算機中發生的具體行爲。
啓動-運行,鍵入bindvwr.msc點開事件查看器來查詢系統日誌。您能夠看到,事件查看器將系統日誌分成兩大類:windows系統日誌、應用軟件系統日誌和服務系統日誌,其中還有一些種類的事件,如應用軟件、安全性、setup、系統軟件、forwardedevent。下面分別開展詳細介紹:
活動種類
應用軟件系統日誌。
包含應用軟件或系統軟件程序記錄的事件,主要是記錄程序執行層面的事件,例如數據庫程序能夠記錄應用軟件系統日誌中的文件不正確,軟件開發人員能夠自己選擇要監視哪些事件。當一個應用軟件癱瘓時,我們可以從程序系統日誌中找到對應的記錄,這可能對解決問題有所幫助。
預設目錄位置:%SystemRoot%\系統軟件32\Winevt\登錄\應用軟件.evtx。
·系統日誌。
由操作系統組件發生的事件記錄,具體包含驅動軟件癱瘓、系統軟件組件和應用軟件癱瘓以及數據丟失不正確等。WindowsNT/2000操作系統預先定義了系統日誌中記錄的時間種類。
預設目錄位置:%SystemRoot%\System32\Winevt\登錄\系統軟件.evtx
·安全記錄
包含應用軟件或系統軟件程序記錄的事件,主要是記錄程序執行層面的事件,例如數據庫程序能夠記錄應用軟件系統日誌中的文件不正確,軟件開發人員能夠自己選擇要監視哪些事件。當一個應用軟件癱瘓時,我們可以從程序系統日誌中找到對應的記錄,這可能會幫助您解決問題。
溯源日誌排查總結:首先確認下網站被入侵後篡改文件的修改時間,然後查看下網站日誌文件中對應時間點有無POST的日誌URL,然後篩選出來查下此IP所有的日誌就能確定是否是攻擊者,如果服務器被入侵的話可以查詢系統日誌看下最近時間的登錄日誌,以及有無增加默認管理員用戶之類的,如果想要更詳細的查詢是如何被入侵的話可以尋求網站安全公司的幫助,推薦SINESAFE,鷹盾安全,綠盟,啓明星辰,大樹安全等等這些都是很不錯的網站安全公司。