日志
前言
在 windows 系统的运行过程中会不断记录日志信息,根据种类可以分为windows日志(事件日志)、应用程序及服务日志,这些日志信息在取证和溯源中非常重要。
审核策略
Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
开始 --> 管理工具 --> 本地安全策略 --> 本地策略 --> 审核策略
事件查看
开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志
可以看到,事件查看器将日志分成了2大类,windows日志、应用程序和服务日志,windows日志中又有应用程序、安全、setup、系统、forwarded event这几种事件类型。
事件日志
Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件 ID、来源、类别、描述、数据等信息。运维人员可以根据日志取证,了解计算机所发生的具体行为。
事件级别
在事件日志中有5个事件级别。
信息
信息事件指应用程序、驱动程序或服务的成功操作的事件。
警告
警告事件指不是直接的、主要的,但是会导致将来发生问题的事件。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
错误
错误事件指用户须知道的重要的问题,通常包括功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它将会产生一个错误事件。
成功审核
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。
失败审核
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
事件ID
Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。
Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作
https://docs.microsoft.com/en-us/windows/security/threat-protection/ 直接搜索 event + 相应的事件id 即可
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j
1102
清理审计日志
4624
账号成功登录
4625
账号登录失败
4768
Kerberos 身份验证(TGT 请求)
4769
Kerberos 服务票证请求
4776
NTLM 身份验证
4672
授予特殊权限
4720
创建用户
4726
删除用户
4728
将成员添加到启用安全的全局组中
4729
将成员从安全的全局组中移除
4732
将成员添加到启用安全的本地组中
4733
将成员从启用安全的本地组中移除
4756
将成员添加到启用安全的通用组中
4757
将成员从启用安全的通用组中移除
4719
系统审计策略修改
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:
2
交互式登录(Interactive)
用户在本地进行登录。
3
网络(Network)
最常见的情况就是连接到共享文件夹或共享打印机时。
4
批处理(Batch)
批处理(为批处理程序保留)
5
服务(Service)
服务启动(服务登录)
7
解锁(Unlock)
屏保解锁。
8
网络明文(NetworkCleartext)
登录的密码在网络上是通过明文传输的,如FTP、IIS登录验证。
9
新凭证(NewCredentials)
使用带/Netonly参数的RUNAS命令运行一个程序。
10
远程交互,(RemoteInteractive)
通过终端服务、远程桌面或远程协助访问计算机。
11
缓存交互(CachedInteractive)
缓存域证书登录
案例:查看系统账号登录情况
开始-运行,输入
eventvwr.msc在事件查看器中,
Windows日志-->安全,查看安全日志;在安全日志右侧操作中,点击
筛选当前日志,输入事件 ID 进行筛选。4624 --登录成功
4625 --登录失败
4634 -- 注销成功
4647 -- 用户启动的注销
4672 -- 使用超级用户(如管理员)进行登录
输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 175904,即用户登录失败了 175904 次,那么这台服务器管理员账号可能遭遇了暴力猜解。
案例:查看计算机开关机的记录
开始-运行,输入
eventvwr.msc在事件查看器中,
Windows日志-->系统,查看系统日志;在系统日志右侧操作中,点击
筛选当前日志,输入事件 ID 进行筛选。其中事件 ID 6006 ID6005、 ID 6009 就表示不同状态的机器的情况(开关机)。6005 信息 EventLog 事件日志服务已启动。(开机)
6006 信息 EventLog 事件日志服务已停止。(关机)
6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
输入事件 ID:6005-6006进行日志筛选,发现了两条在 2018/7/6 17:53:51 左右的记录,也就是我刚才对系统进行重启的时间。
windows日志类型
系统内置的三个核心日志文件(System,Security和Application)默认大小均为 20480KB(20MB),记录事件数据超过 20MB 时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为 1024KB,超过最大限制也优先覆盖过期的日志记录。
应用程序
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决。
默认位置:
%SystemRoot%\System32\Winevt\Logs\Application.evtx系统
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置:
%SystemRoot%\System32\Winevt\Logs\System.evtx安全
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:
%SystemRoot%\System32\Winevt\Logs\Application.evtx转发事件
日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。
默认位置:
%SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx
应用程序及服务日志
Internet Explorer
IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。
默认位置:
Internet Explorer.evtxMicrosoft
Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。
默认位置:
详见日志存储目录对应文件Microsoft Office Alerts
微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。
默认位置:
OAerts.evtxWindows PowerShell
Windows自带的PowerShell应用的日志信息。
默认位置:
Windows PowerShell.evtx
日志文件格式
系统事件日志主要保存的类型为:*.evtx,*.xml,*.txt,*.csv。对于后三种文件格式已经比较了解,现在分析下 evtx 后缀额格式。事件日志(evtx)文件是一种二进制格式的文件。