0x01 基本設置
A、Windows審覈策略設置
前提:開啓審覈策略,若日後系統出現故障、安全事故則可以查看系統的日誌文件,排除故障,追查入侵者的信息等。
打開設置窗口
Windows Server 2008 R2:開始 → 管理工具 → 本地安全策略 → 本地策略 → 審覈策略,如圖1所示;
Windows Server 2003:開始 → 運行 → 輸入 gpedit.msc 回車 → 計算機配置 → Windows 設置 → 安全設置 → 本地策略 → 審覈策略。
各項策略可按如下設置:
B、查看Windows的系統操作記錄日誌的方法:
1、開始 → 管理工具 → 事件查看器
2、Win+R打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。
C、如何篩選
如果想要查看賬戶登錄事件,在右邊點擊篩選當前日誌,在事件ID填入4624和4625,4624 登錄成功 4625 登錄失敗
D、事件ID及常見場景
對於Windows事件日誌分析,不同的EVENT ID代表了不同的意義,摘錄一些常見的安全事件的說明。
4624 --登錄成功
4625 --登錄失敗
4634 -- 註銷成功
4647 -- 用戶啓動的註銷
4672 -- 使用超級用戶(如管理員)進行登錄
例如:
1、管理員登錄
使用mstsc遠程登錄某個主機時,使用的帳戶是管理員帳戶的話,成功的情況下會有ID爲4776、4648、4624、4672的事件產生。
2、執行系統命令
Win+R打開運行,輸入“CMD”,回車運行“ipconfig”,產生的日誌過程是這個樣子:
進程創建 C:\Windows\System32\cmd.exe
進程創建 C:\Windows\System32\ipconfig.exe
進程終止 C:\Windows\System32\ipconfig.exe
3、在入侵提權過程中,常使用下面兩條語句,會形成怎麼樣的日誌呢?
net user USER PASSWORD /add
net localgroup administrators USER /add
0x02 日誌分析工具
A、Log Parser
Log Parser(是微軟公司出品的日誌分析工具,它功能強大,使用簡單,可以分析基於文本的日誌文件、XML 文件、CSV(逗號分隔符)文件,以及操作系統的事件日誌、註冊表、文件系統、Active Directory。它可以像使用 SQL 語句一樣查詢分析這些數據,甚至可以把分析結果以各種圖表的形式展現出來。
Log Parser 2.2下載地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
分析案例:
管理員登錄時間和登錄用戶名
C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT TimeGenerated
as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where Eve
ntID=4624"
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\11.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
RDP爆破使用的用戶名及爆破次數:
C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT EXTRACT_TOKE
N(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) FROM c:\11.evtx w
here EventID=4625 GROUP BY Message"
user COUNT(ALL EXTRACT_TOKEN(Message, 19, ' '))
創建的進程過程:
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated as Creationtime,EXTRACT_TOKEN(Strings,5,'|') as Process FROM c:\11.evtx where EventID=4688
參考鏈接:
取證實戰:Windows日誌分析
http://m.sohu.com/a/148102374_505860/?pvid=000115_3w_a
Winserver 2008事件日誌-事件ID詳解
https://blog.csdn.net/Jason_WangYing/article/details/62418008
常見登錄類型日誌分析
https://blog.csdn.net/zhulinu/article/details/52747984
Windows 7和Windows Server 2008 R2 安全事件的說明
https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008
windows安全日誌分析工具logparser用法詳解
https://www.jb51.net/hack/384430.html
https://wenku.baidu.com/view/e86ad976e009581b6bd9ebcf.html
Powershell日誌分析
https://www.t00ls.net/articles-50631.html