Window日誌分析

 0x01 基本設置 

A、Windows審覈策略設置

前提：開啓審覈策略，若日後系統出現故障、安全事故則可以查看系統的日誌文件，排除故障，追查入侵者的信息等。

打開設置窗口

　　Windows Server 2008 R2：開始 → 管理工具 → 本地安全策略 → 本地策略 → 審覈策略，如圖1所示；

　　Windows Server 2003：開始 → 運行 → 輸入 gpedit.msc 回車 → 計算機配置 → Windows 設置 → 安全設置 → 本地策略 → 審覈策略。

各項策略可按如下設置：

B、查看Windows的系統操作記錄日誌的方法：

1、開始 → 管理工具 → 事件查看器

2、Win+R打開運行，輸入“eventvwr.msc”，回車運行，打開“事件查看器”。

C、如何篩選

如果想要查看賬戶登錄事件，在右邊點擊篩選當前日誌，在事件ID填入4624和4625，4624 登錄成功 4625 登錄失敗

 D、事件ID及常見場景

 對於Windows事件日誌分析，不同的EVENT ID代表了不同的意義，摘錄一些常見的安全事件的說明。

4624  --登錄成功   
4625  --登錄失敗  
4634 -- 註銷成功
4647 -- 用戶啓動的註銷   
4672 -- 使用超級用戶（如管理員）進行登錄

例如：

1、管理員登錄

 使用mstsc遠程登錄某個主機時，使用的帳戶是管理員帳戶的話，成功的情況下會有ID爲4776、4648、4624、4672的事件產生。

2、執行系統命令

Win+R打開運行，輸入“CMD”，回車運行“ipconfig”，產生的日誌過程是這個樣子：

進程創建 C:\Windows\System32\cmd.exe 

進程創建 C:\Windows\System32\ipconfig.exe

進程終止 C:\Windows\System32\ipconfig.exe 

 

3、在入侵提權過程中，常使用下面兩條語句，會形成怎麼樣的日誌呢？

net user  USER  PASSWORD /add
net localgroup administrators USER /add

 0x02 日誌分析工具

A、Log Parser

Log Parser（是微軟公司出品的日誌分析工具，它功能強大，使用簡單，可以分析基於文本的日誌文件、XML 文件、CSV（逗號分隔符）文件，以及操作系統的事件日誌、註冊表、文件系統、Active Directory。它可以像使用 SQL 語句一樣查詢分析這些數據，甚至可以把分析結果以各種圖表的形式展現出來。

 Log Parser 2.2下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

分析案例：

管理員登錄時間和登錄用戶名

C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT TimeGenerated
 as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where Eve
ntID=4624"

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\11.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

RDP爆破使用的用戶名及爆破次數：

C:\Program Files (x86)\Log Parser 2.2>LogParser.exe  -i:EVT "SELECT EXTRACT_TOKE
N(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) FROM c:\11.evtx w
here EventID=4625 GROUP BY Message"
user   COUNT(ALL EXTRACT_TOKEN(Message, 19, ' '))

創建的進程過程：

LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated as Creationtime,EXTRACT_TOKEN(Strings,5,'|') as Process  FROM c:\11.evtx where EventID=4688

 

參考鏈接：

取證實戰：Windows日誌分析

http://m.sohu.com/a/148102374_505860/?pvid=000115_3w_a

Winserver 2008事件日誌-事件ID詳解

https://blog.csdn.net/Jason_WangYing/article/details/62418008

常見登錄類型日誌分析

https://blog.csdn.net/zhulinu/article/details/52747984

Windows 7和Windows Server 2008 R2 安全事件的說明

https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

windows安全日誌分析工具logparser用法詳解

https://www.jb51.net/hack/384430.html

https://wenku.baidu.com/view/e86ad976e009581b6bd9ebcf.html

Powershell日誌分析 

https://www.t00ls.net/articles-50631.html