图片爱色网

01

Windows事件日记简介

Windows事件日记文献本体上是数据库，其中包括关干系统、安全、应用设施的记录。记录的事件包含9个元素：日历/时候、事件类型、用户、筹画机、事件ID、开头、类别、刻画、数据等信息。

文爱app

Windows事件日记共有五种事件类型，通盘的事件必须只可领有其中的一种事件类型。

1．信息（Information）信息事件指应用设施、驱动设施或劳动的得胜操作的事件。2．警告（Warning）警告事件指不是凯旋的、主要的，然则会导致未来问题发生的问题。举例，当磁盘空间不及或未找到打印机时，皆会记录一个“警告”事件。3． 造作（Error）造劳动件指用户应该知说念的着急的问题。造劳动件每每指功能和数据的丢失。举例， 如果一个劳动不可看成系统辖导被加载，那么它会产生一个造劳动件。4． 得胜审核（Success audit）得胜的审核安全探访尝试，主如果指安全性日记，这里记录着用户登录/刊出、对象探访、特权使用、账户责罚、计谋转换、详备追踪、目次劳动探访、账户登录等事件，举例通盘的得胜登录系统皆会被记录为“得胜审核”事件5．失败审核（Failure audit）失败的审核安全登录尝试，举例用户试图探访收罗驱动器失败，则该尝试会被看成失败审核事件记录下来。

早在1993年的Windows NT3.1，微软就启动使用事件日记来记录各式事件的信息。在NT的进化经由中，事件日记的文献名和文献存放位置一直保执不变，在Windows NT/Win2000/XP/Server 2003中， 日记文献的膨胀名一直是evt，存储位置为“%systemroot%\System32\config”。从Windows Vista和Server 2008启动，日记文献的文献名、结构和存储位置发生了纷乱改变， 文献膨胀名改为evtx (XML局面) ，存储位置改为“%systemroot%\System32\WinEvt\logs”。

 1、系统日记记录操作系统组件产生的事件，主要包括驱动设施、系统组件和应用软件的崩溃以及数据。默许位置：C:\WINDOWS\system32\config\SysEvent.EvtC:\WINDOWS\system32\winevt\Logs\System.evtx 2.应用设施日记包含由应用设施或系统设施记录的事件，主要记录设施运行方面的事件。默许位置：C:\WINDOWS\system32\config\AppEvent.EvtC:\WINDOWS\system32\winevt\Logs\Application.evtx 3.安全日记记录系统的安全审计事件，包含各式类型的登录日记、对象探访日记、程度追踪日记、特权使用、帐号责罚、计谋变更、系统事件。安全日记亦然侦查取证中最常用到的日记。默许建设下，安全性日记是关闭的，责罚员不错使用组计谋来启动安全性日记，卤莽在注册表中建设审核计谋，以便当安全性日记满后使系统罢手反应。默许位置：C:\WINDOWS\system32\config\SecEvent.EvtC:\WINDOWS\system32\winevt\Logs\Security.evtx天然险些通盘事件记录在侦查经由中皆或多或少带来匡助，然则大多量的侦查取证中，安全日记中找到萍踪的可能性最大。系统和应用设施日记存储着故障抹杀信息，关于系统责罚员更为有效。安全日记记录着事件审计信息，包括用户考证（登录、汉典探访等）和特定用户在认证后对系统作念了什么，关于侦查东说念主员而言，更有匡助。

02

审核计谋与事件稽查器

开启审核计谋，建立根据推行业务日记属性，因为有些系统审核功能在默许气象下并莫得启用，残暴开启审核计谋，若日后系统出现故障、安全事故则不错稽查系统的日记文献，抹杀故障，追查入侵者的信息等。

1、建立安全计谋启动 → 责罚器具 → 土产货安全计谋 → 土产货计谋 → 审核计谋，根据推行情况进行建立win + r -> 输入 secpol.msc2、建设合理的日记属性，即日记最大大小、事件遮盖阀值等win + R --> 输入 eventvwr.msc ，进行日记属性建立。3、稽查系统日记设施：在“启动”菜单上，挨次指向“通盘设施”、“责罚器具”，然后单击“事件稽查器”Win + R，输入 eventvwr.msc 凯旋干预“事件稽查器”

图片

图片

03

事件日记分析

关于Windows事件日记分析，不同的EVENT ID代表了不同的兴味，节录一些常见的安全事件的讲明：

事件ID     讲明4624     登录得胜4625     登录失败4634     刊出得胜4647     用户启动的刊出4672     使用超等用户（如责罚员）进行登录4720     创建用户每个得胜登录的事件皆会标记一个登录类型，不同登录类型代表不同的表情：登录类型     刻画     讲明2     交互式登录（Interactive）     用户在土产货进行登录。3     收罗（Network）     最常见的情况即是讨好到分享文献夹或分享打印机时。Window 安全事件（EVENT ID）查询表4     批处理（Batch）     每每标明某沟通任务启动。5     劳动（Service）     每种劳动皆被建立在某个特定的用户账号下运行。7     解锁（Unlock）     屏保解锁。8     收罗明文（NetworkCleartext）     登录的密码在收罗上是通过明文传输的，如FTP。9     新字据（NewCredentials）     使用带/Netonly参数的RUNAS号令运行一个设施。10     汉典交互，（RemoteInteractive）     通过终局劳动、汉典桌面或汉典协助探访筹画机。11     缓存交互（CachedInteractive）     以一个域用户登录而又莫得域罢了器可用

Window 安全事件（EVENT ID）查询表

Beret-Sec，公众号：贝雷帽SECWindow 安全事件（EVENT ID）查询表

04

使用powershell 日记分析

使用 powershell的 Get-EventLog 和 Get-WinEvent 号令进行日记赢得分析。

1、Get-EventLog 从土产货和汉典筹画机赢得事件和事件日记。默许情况下， Get-EventLog 从土产货筹画机赢得日记。

Get-EventLog 常用示例

Beret-Sec，公众号：贝雷帽SECWindow 日记分析——PowerShell号令

2、Get-WinEvent 从事件日记中赢得事件，包括经典日记，举例系统和应用设施日记。cmdlet 从 Windows Vista 中引入的 Windows 事件日记技能生成的事件日记中赢得数据，以及 Windows (ETW) 事件追踪 生成的日记文献中的事件。默许情况下， Get-WinEvent 按最新到最旧的国法复返事件信息。

Get-WinEvent 常用示例

Beret-Sec，公众号：贝雷帽SECWindow 日记分析——PowerShell号令2

05

使用日记分析器具

5.1 系统自带器具

使用系统自带查询器具进行分析可凯旋建设查询条目进行过滤卤莽使用手动裁剪的表情进行查询。

图片

5.2 常用日记分析器具

1、LogParserLogParser是微软公司提供的一款日记分析器具，不错对基于文本局面的日记文献、XML文献和CSV文献，以及Windows操作系统上的事件日记、注册表、文献系统等等进行处理分析，分析成果不错保存在基于文本的自界说局面中、SQL卤莽是愚弄各式图表进行展示。下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

使用语法：LogParser –i:输入文献的局面 –o:念念要输出的局面 “SQL语句”登录得胜的通盘事件LogParser.exe -i:EVT –o:DATAGRID  'SELECT recordnumber，timegenerated，eventid，Computername，EXTRACT_TOKEN(Message，38，' ') as Loginip  FROM .\Security1.evtx where EventID=4624'指定登录时候规模的事件：LogParser.exe -i:EVT –o:DATAGRID  'SELECT recordnumber，timegenerated，eventid，Computername，EXTRACT_TOKEN(Message，38，' ') as Loginip FROM .\Security1.evtx where TimeGenerated>'2021-04-25 00:00:01' and TimeGenerated<'2021-04-30 00:00:01' and EventID=4624'索要登录得胜的用户名和IP：LogParser.exe -i:EVT  –o:DATAGRID  'SELECT EXTRACT_TOKEN(Message，13，' ') as EventType，TimeGenerated as LoginTime，EXTRACT_TOKEN(Strings，5，'|') as Username，EXTRACT_TOKEN(Message，38，' ') as Loginip FROM .\Security1.evtx where EventID=4624'登录失败的通盘事件：LogParser.exe -i:EVT –o:DATAGRID  'SELECT recordnumber，timegenerated，eventid，Computername，EXTRACT_TOKEN(Message，38，' ') as Loginip FROM .\Security1.evtx where EventID=4625'索要登录失败用户名进行团聚统计：LogParser.exe  -i:EVT 'SELECT  EXTRACT_TOKEN(Message，13，' ')  as EventType，EXTRACT_TOKEN(Message，19，' ') as user，count(EXTRACT_TOKEN(Message，19，' ')) as Times，EXTRACT_TOKEN(Message，39，' ') as Loginip FROM .\Security1.evtx where EventID=4625 GROUP BY Message'系统历史开关机记录：LogParser.exe -i:EVT –o:DATAGRID  'SELECT TimeGenerated，EventID，Message FROM .\System1.evtx where EventID=6005 or EventID=6006'更多使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

图片

2、LogParser Lizard

Log Parser Lizard是一款专科实用的日记分析软件。该款器具不错将日记查询成果导出Excel、图表、姿色板等局面，收受数据挖掘和多维分析技能分析出成果，内置抒发式裁剪器、过滤器裁剪器、数据透视表、表格等器具，为您进行日记分析带来极大的便利。

下载集结：https://www.lizard-labs.com/log_parser_lizard_download.aspx

图片

3、Event Log Explorer

Event Log Explorer是一款杰出好用的Windows日记分析器具。可用于稽查，监视和分析跟事件记录，包括安全，系统，应用设施和其他微软Windows 的记录被纪录的事件，其刚毅的过滤功能不错快速的过滤出有价值的信息。

下载集结：https://event-log-explorer.en.softonic.com/

图片

4、Logfusion

LogFusion是一款功能刚毅的及时日记监控应用设施，专为系统责罚员和开拓东说念主员策动！使用自界说隆起泄露章程、过滤等。您致使不错在筹画机之间同步LogFusion建设。

下载集结：https://www.logfusion.ca/Download/

图片

参考集结：https://zhuanlan.zhihu.com/p/385105096?utm_id=0               

图片

本站仅提供存储劳动，通盘内容均由用户发布，如发现存害或侵权内容，请点击举报。