| 【精选】Windows日志分析(上) | 您所在的位置:网站首页 › windows metro应用日志文件 › 【精选】Windows日志分析(上) |
|
Windows日志分析(上)
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。 多年来,微软不断提高其审计设施的效率和有效性。 现代 Windows 系统可以以最小的系统影响记录大量信息。 一般来说企业会选择一种工具来获取日志,这个工具叫做Security information and event management(SIEM)即安全,信息和事件管理。 在 Windows 系统上配置足够的日志记录,并在理想情况下将这些日志聚合到 SIEM 或其他日志聚合器中,能够确保我们在SIEM中的搜索语句找到自己想要的日志。 1. 事件日志格式现代 Windows 系统默认以二进制 XML Windows 事件日志格式将日志存储在 %SystemRoot%\System32\winevt\logs 目录中,后缀名为.evtx 。也可以使用日志订阅远程存储日志。 事件可以记录在不同地方的日志当中,例如:安全、系统和应用程序事件,它们也可能出现在其他几个日志文件中。 安装程序事件日志记录安装 Windows 期间发生的活动。 Forwarded Logs 事件日志是记录从其他系统接收到的事件的默认位置。 但还有许多其他日志,列在事件查看器中的应用程序和服务日志下,记录与特定类型活动相关的详细信息。 Log Name(日志名称): 这是存储事件的事件日志的名称,当我们在同一个系统当中提取大量的日志的时候,会很有用(例如用作索引). Source(源): 生成事件的服务(Services)、Microsoft的组件或者应用程序。 Event ID(事件ID): 分配给每个类型的审计活动的代码。 Level(级别): 分配给相关事件的严重性 User(用户):出发这个事件所涉及的用户或源。但是这个字段的用户通常表示的是系统而不是记录事件原因的用户。 OpCode: 由生成的日志的源来分配。 Logged: 记录事件的本地系统日期和事件 Task Category(任务分类): 由生成日志的源分配。 Keywords(关键字): 由源分配,用于对事件进行分组或者排序。 Computer(计算机): 记录事件的计算机。这个在我们检查多个计算机的日志的时候很有用,但是我们通常不会讲它作为导致事件的设备。一个经典的例子(当启动远程登录的时候-mstsc(Microsoft terminal services client)计算机字段扔回显示记录事件的系统的名称,不是连接的来源) Description(描述): 记录了事件的附加信息,这个描述一般为安全分析师或者蓝队最重要的领域。 2. Windows日志分析的类型 账户管理系统事件 账户登录和登录事件 常见的事件ID4768结果的代码 登录事件类型以及代码说明 常见的登录失败状态码 访问共享对象(例如smb) 计划任务日志 对象访问审计 审计政策变更 审核Windows服务 无线局域网(WLAN)审计 过程跟踪 附加程序执行记录 PowerShell审核 1. 账户管理系统事件 事件ID 描述 Description 4720 一个用户被创建了 A user account was created. 4722 一个用户被启用了 A user account was enabled. 4723 用户试图更改帐户的密码 A user attempted to change an account’s password. 4724 尝试重置帐户密码 An attempt was made to reset an account’s password. 4725 一个用户账户被禁用 A user account was disabled. 4726 一个账户被删除了 A user account was deleted. 4727 创建了一个启用安全性的全局组 A security-enabled global group was created. 4728 成员已添加到启用安全性的全局组 A member was added to a security-enabled global group. 4729 已从启用安全性的全局组中删除成员 A member was removed from a security-enabled global group. 4730 已删除启用安全性的全局组 A security-enabled global group was deleted. 4731 已创建启用安全性的本地组 A security-enabled local group was created. 4732 成员已添加到启用安全性的本地组 A member was added to a security-enabled local group. 4733 已从启用安全性的本地组中删除成员 A member was removed from a security-enabled local group. 4734 已删除启用安全性的本地组 A security-enabled local group was deleted. 4735 启用了安全性的本地组已更改 A security-enabled local group was changed. 4737 启用了安全性的全局组已更改 A security-enabled global group was changed. 4738 用户帐户已更改 A user account was changed. 4741 创建了一个计算机帐户 A computer account was created. 4742 一个计算机账户已被更改 A computer account was changed. 4743 一个计算机账 |
| CopyRight 2018-2019 实验室设备网 版权所有 |