Windows应急响应和系统加固(7)——Windows操作系统日志分析

Windows操作系统日志分析

一、Windows操作系统日志介绍:

  1.Windows操作系统日志介绍:

    <1>.Windows操作系统在运行生命周期,以特定数据结构方式存储、记录OS大量运行的日志信息,例如:System、Security、Application... ...,主要包括:Windows事件日志(Event Log)、Windows Web Server IIS日

志、Windows FTP日志、Exchange Server邮件服务、MS SQL Server数据库日志等。

    <2>.Windows日志包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据... ... ...。

    <3>.系统内置3个核心日志文件(System、Security、Application);

      默认大小均为20480KB(20MB),数据超过20MB,默认系统将优先覆盖过期日志记录。

    <5>.应用程序、服务日志默认最大1024KB,超过最大限制也优先覆盖过期的日志记录。

  2.Windows事件日志,共有五种事件类型:

    注:所有事件必须拥有五种事件类型中的一种,且只可以有一种。 

    <1>.信息(Information)

      指应用程序、驱动程序、服务的成功操作的事件。

    <2>.警告(Warning)

      运行故障和警告信息。例如,删除硬盘操作。

    <3>.错误(Error)

      通常指功能和数据的丢失。e.g.如果一个服务不能作为系统引导被加载,即会产生一个错误事件。

    <4>.成功审核(Success audit)

      成功审核的安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、目录服务访问、账户登录等事件。

      注:所有成功登录系统的事件,都被记录“ 成功审核”事件。ID号4624。

    <5>.失败审核(Failure audit)

      失败审核的安全登录尝试。

      注:用户试图通过RDP 3389尝试的失败登录,都以失败审核事件记录下来。ID号4625。

  3.几种类型Windows日志:

    <1>.System系统日志:

      系统进程、设备、磁盘活动等。记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。

    <2>.Security安全日志:

      包含安全性相关的事件。e.g.用户权限变更,登录及注销,文件/文件夹访问等信息。

    <3>.Application应用程序日志:

      包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。

    <4>.应用程序及服务日志:

      如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。

  注:可在windows操作系统中打开cmd指令,输入"eventvwr.msc"打开日志,"windows日志"文件里面找到系统日志。

  4.关于windows操作系统日志的删除:

    Windows操作系统默认没有提供删除特定日志记录的功能,仅提供删除所有日志的操作功能,因此,日志记录ID(Event Record ID)应该是连续的(默认的排序方式应是从大到小往下排列),当发现日志为不连续的时候,要警惕是

否日志被删除了。

    早期版本Windows日志只有应用程序、安全、系统、Setup安装,新版本OS增加了设置及转发事件日志(默认禁用),如需要的话可以打开。

  5.导出windows日志文件:

    右击所需要保存的日志,选择"将所有日志另存为",可选格式如图:.evtx、.xml、.txt、.csv,

 

 

   6.windows日志事件ID和登陆类型:

    <1>.windows日志事件ID:

      4624,成功的登录;

      4625,失败的尝试;

      4672,授予特殊权限;

      4720,添加用户;

      4726,删除用户;

      4634,成功的注销;

      4672,超级用户登录;

    <2>.Windows日志事件的登录类型:

      每个成功登录的事件都会标记一个登录类型,不同登录类型,代表不同的方式。

    详细的安全事件的说明:

      https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

二、Windows操作系统日志分析:

  1.Log Parser:

    <1>.介绍:

        微软出品日志分析工具,具备通用日志分析能力;

        可实现分析Windows系统日志、IIS、Apache、Tomcat、Nginx等日志;

        功能强大,可分析基于文本的日志文件、XML 文件、CSV逗号分隔符文件,以及操作系统事件日志、注册表、文件系统、Active Directory。

        可使用SQL语句查询分析日志数据,甚至可以将分析结果以各种图表的形式展现。

    <2>.下载地址:

      https://www.microsoft.com/en-us/download/details.aspx?id=24659

    <3>.Log Parser的辅助、加强工具,图形化界面操作--Log Parser Lizard GUI。

      下载地址:https://lizard-labs.com/products.aspx

  2.Splunk日志数据分析平台 :

    <1>.介绍:

      Splunk是强大的日志数据收集、索引、分析和处理、搜索引擎。

    <2>.下载地址:

      https://www.splunk.com/en_us/download/splunk-enterprise.html

  3.logonTracer :

    <1>.介绍:

      Windows系统,安全登录日志分析工具logonTracer

    <2>.下载地址:

      https://github.com/TheKingOfDuck/logonTracer