电脑日志怎么看（Windows日志使用）

如何看待电脑日志(使用Windows日志)？

简介

到目前为止，在Windows网络操作系统中，除了应用日志、安全日志、系统日志和Scheduler服务日志之外，还有与网络应用相关的FTP日志、WWW日志和DNS服务器日志。

事件日志可以记录系统中硬件、软件和系统问题的信息，监控系统中发生的事件，记录敏感操作的关键信息，有助于提高系统的网络安全性，帮助系统安全人员找到安全事件的根源。

事件查看器

事件查看器(eventvwr.msc)由微软开发，内置于微软Windows NT操作系统的组件中。它允许用户查看他们使用的计算机的所有事件，或者作为系统管理员远程查看。Windows Vista中的事件查看器已经过重新设计。

Windows主要有以下三种记录系统事件的日志:应用程序日志、系统日志和安全日志。

前两个存储故障排除信息，对系统管理员更有用。后者记录事件审核信息，包括用户身份验证(登录、远程访问等)。)以及认证后特定用户对系统做了什么，对调查人员更有帮助。

1.系统日志。

系统日志记录由操作系统组件生成的事件，包括驱动程序、系统组件和应用程序软件的崩溃以及数据丢失错误。系统日志中记录的时间类型是由Windows NT/2000操作系统预定义的。

默认位置:% systemroot % \ system32 \ win vt \ logs \ system . evtx。

2.应用日志。

应用日志包含应用程序或系统程序记录的事件，主要记录程序运行的事件。例如，数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果应用程序崩溃，我们可以在程序事件日志中找到相应的记录，这可能会帮助您解决问题。

默认位置:% systemroot % \ system32 \ win vt \ logs \ application . evtx。

3.安全日志。

安全日志记录系统的安全审计事件，包括各种类型的登录日志、对象访问日志、进程跟踪日志、权限使用、帐户管理、策略更改和系统事件。安全日志也是调查取证中最常用的日志。默认情况下，安全日志是关闭的。管理员可以使用组策略启动安全日志，或者在注册表中设置审核策略，以在安全日志已满时阻止系统响应。默认位置:% systemroot % \ system32 \ win vt \ logs \ security . evtx。

4.查看设置建议。

从Windows 10版本1809开始，默认情况下启用审核登录。在以前版本的Windows中，默认情况下仅启用成功。

Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2默认不启用，只记录部分简单日志，默认日志大小为20M。建议启动审计策略。如果将来出现系统故障或安全事故，可以查看系统的日志文件，排除故障，追踪入侵者信息。

有关更多详细信息，请参见https://docs . Microsoft . com/zh-cn/windows-server/identity/ad-ds/plan/security-最佳实践/audit-policy-建议。

5.启用审核配置。

默认情况下，不启用Windows Server 2008系统的审核功能。

系统默认审计策略如下图所示:

6.合理的日志属性。

在一些基线检查中，要求保存系统日志90天以上，可以为日后排除系统故障、追踪入侵者进行安全事故提供依据。

系统默认日志属性如下图所示:

日志分析

通过分析日志发现入侵痕迹是一项繁重的工作，因此掌握必要的技巧至关重要。过滤掉许多没有价值的数据泥潭，有助于快速定位入侵事件。主要的过滤基础是事件标识。例如，当黑客用RDP引爆系统时，系统会在安全日志中记录探测器使用的IP、时间和用户名，并在事件ID=4625的安全日志中检查事件属性。

检查事件属性，效果如下图所示:

快速定位常用的事件id有很多，下表是常见的事件描述:

每个成功的登录事件都将标记一个登录类型，不同的登录类型代表不同的方式:

有关更多详细信息，请参见https://support . Microsoft . com/zh-cn/help/977519/windows 7和windows server-2008中的安全事件描述。

用于快速提取关键事件(时间闪回)的可用powershell命令:get-wine vent-filterhashtable @ { logname = & # 39；安全& # 39；；ID = & # 394624'}资源网络和get-wine vent-filter hashtable @ { log name = & # 39；安全& # 39；}

快速提取关键事件，效果如下图所示:

相关工具

1、日志解析器

下载地址:https://www.microsoft.com/en-us/download/details.aspx?.身份证资源网=24659。

使用示例:https://mlichtenberg . WordPress . com/2011/02/03/log-parser-rocks-50以上-示例/

日志分析器是由微软公司生产的。它功能强大，易于使用。它可以分析基于文本的日志文件、XML文件、CSV(逗号分隔)文件、微软视窗操作系统的事件日志、注册表、文件系统和活动目录。

日志解析器使用SQL语法查询分析日志，甚至在各种图表中显示分析结果。

基本查询结构

Logparser.exe–i:EVT–o:DATAGRID"SELECT*FROM.\xx.evtx"

分析日志

(1)查询登录成功的事件。

登录成功的所有事件LogParser.exe-i:EVT–o:DATAGRID"SELECTrecordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereEventID=4624"指定登录时间范围的事件：LogParser.exe-i:EVT–o:DATAGRID"SELECTrecordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereTimeGenerated>'2021-04-2500:00:01'andTimeGenerated<'2021-04-3000:00:01'andEventID=4624"提取登录成功的用户名和IP：LogParser.exe-i:EVT–o:DATAGRID"SELECTEXTRACT_TOKEN(Message,13,'')as&nbs资源网p;EventType,TimeGeneratedasLoginTime,EXTRACT_TOKEN(Strings,5,'|')asUsername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereEventID=4624"

查询登录成功的事件，效果如下图所示:

(2)查询登录失败事件。

登录失败的所有事件：LogParser.exe-i:EVT–o:DATAGRID"SELECTrecordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereEventID=4625"提取登录失败用户名进行聚合统计：LogParser.exe-i:EVT"SELECTEXTRACT_TOKEN(Message,13,'')asEventType,EXTRACT_TOKEN(Message,19,'')asuser,count(EXTRACT_TOKEN(Message,19,''))asTimes,EXTRACT_TOKEN(Message,39,'')asLoginipFROM.\Security1.evtxwhereEventID=4625GROUPBYMessage"

聚合登录失败事件，效果如下图所示:

(3)历史系统启动和关闭记录。

LogParser.exe-i:EVT–o:DATAGRID"SELECTTimeGenerated,EventID,MessageFROM.\System1.evtxwhereEventID=6005orEventID=6006"

查询开关机事件，效果如下图所示:

2、日志解析器蜥蜴

logParser蜥蜴有一个图形界面，其中封装了LogParser命令，使得操作更加简单。与此同时，它还整合了美学。ultrachart.core.v4.3和Infragistics.EXCEL.v4.3.dll等。，查询结果可以以图表或Excel格式显示。像logParser一样，Log Parser蜥蜴可以分析服务器日志、网站日志等。，并支持基于文本的日志文件、XML文件等。

日志蜥蜴下载地址:https://lizard-labs.com/log_parser_lizard.aspx.

依赖包框架4 .5，下载地址:https://www.microsoft.com/en-us/download/details.aspx?. id = 42642

查询登录成功的事件，效果如下图所示:

3、事件日志浏览器

事件浏览器是一个非常有用的Windows日志分析工具。它可以用来查看、监控、分析和记录事件，包括微软视窗的安全、系统、应用程序和其他记录的事件。其强大的过滤功能可以快速过滤出有价值的信息。

事件浏览器下载地址:https://event-log-explorer.en.softonic.com/.

查询登录成功的事件，效果如下图所示:

情况分析

1、坏USB

在一些近源渗透案例中，攻击者使用BadUSB攻击公司员工的BYOD。要追踪此类攻击，需要注意系统中安装硬件设备的时间，并确保在追踪之前已经正确配置了审核策略。

有几个事件id需要关注:

查询系统中历史USB设备安装事件，效果如下图所示:

2.WIFI钓鱼。

在一些近源渗透案例中，攻击者使用WIFI伪造对办公区域进行网络钓鱼攻击。为了跟踪此类攻击，有必要重点分析系统访问了哪些相关联的无线网络接入点和位置，并确保在继续之前正确配置了审核策略。

有几个事件id需要关注:

在系统中查询历史WIFI连接记录，效果如下图所示:

3.勒索病毒。

在某些勒索软件的情况下，攻击者在局域网主机上投放蠕虫进行RDP爆炸，然后水平移动。要追踪此类攻击，需要重点分析系统登录事件，并确保在追踪之前已经正确配置了审计策略。

有几个事件id需要关注:

登录类型为10，表示登录成功。注意比较成功登录的时间点和ransomware加密文件的时间点:

一些软件使用P**ec来遍历内部网。如果密码爆炸成功，将安装这种P**ESVC服务，并相应生成两个事件日志，事件4697和事件7045，其中事件4697的记录可能包含帐户信息。

总结

本文以Windows日志为重点，从应急工程师的角度记录了一些常用的安全审计配置和应急响应工具的使用。应急反应是突然的、紧急的、不确定的。目前很多应急工程师已经将应急知识组织成思维导图，对于经验丰富的应急工程师来说是一个有利的工具，但是对于初学者来说，过度依赖是有害的。

对于有经验的应急工程师来说，思维导图可以用来传播思想，简化工作。但需要注意的是，很多应急响应工程师使用思维导图作为笔记，记录的内容往往是一些技能点，导致每次应急任务后技能只有寥寥数语，不利于职业的长远发展。

学习最重要的不是记录什么，而是自己思考。因此，建议初学者尽量写一些完整的文字，记录在应急过程中从外部获得的，有自己知识结构的思维火花的东西，这样可以帮助我们形成独立的思维，加深应急的深度和可追溯性。

下一篇：上海黄金交易所怎么开户（上海黄金期货交易所如何开户？）
上一篇：奔腾b30怎么样（国产车奔腾b30怎么样？）