0x01 Window事件日志簡(jiǎn)介

Windows系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時(shí)還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯(cuò)誤發(fā)生的原因，或者尋找受到攻擊時(shí)攻擊者留下的痕跡。

Windows主要有以下三類日志記錄系統(tǒng)事件：應(yīng)用程序日志、系統(tǒng)日志和安全日志。

系統(tǒng)日志

記錄操作系統(tǒng)組件產(chǎn)生的事件，主要包括驅(qū)動(dòng)程序、系統(tǒng)組件和應(yīng)用軟件的崩潰以及數(shù)據(jù)丟失錯(cuò)誤等。系統(tǒng)日志中記錄的時(shí)間類型由Windows?NT/2000操作系統(tǒng)預(yù)先定義。 默認(rèn)位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

應(yīng)用程序日志

包含由應(yīng)用程序或系統(tǒng)程序記錄的事件，主要記錄程序運(yùn)行方面的事件，例如數(shù)據(jù)庫(kù)程序可以在應(yīng)用程序日志中記錄文件錯(cuò)誤，程序開發(fā)人員可以自行決定監(jiān)視哪些事件。如果某個(gè)應(yīng)用程序出現(xiàn)崩潰情況，那么我們可以從程序事件日志中找到相應(yīng)的記錄，也許會(huì)有助于你解決問題。 默認(rèn)位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

記錄系統(tǒng)的安全審計(jì)事件，包含各種類型的登錄日志、對(duì)象訪問日志、進(jìn)程追蹤日志、特權(quán)使用、帳號(hào)管理、策略變更、系統(tǒng)事件。安全日志也是調(diào)查取證中最常用到的日志。默認(rèn)設(shè)置下，安全性日志是關(guān)閉的，管理員可以使用組策略來啟動(dòng)安全性日志，或者在注冊(cè)表中設(shè)置審核策略，以便當(dāng)安全性日志滿后使系統(tǒng)停止響應(yīng)。 默認(rèn)位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

系統(tǒng)和應(yīng)用程序日志存儲(chǔ)著故障排除信息，對(duì)于系統(tǒng)管理員更為有用。 安全日志記錄著事件審計(jì)信息，包括用戶驗(yàn)證（登錄、遠(yuǎn)程訪問等）和特定用戶在認(rèn)證后對(duì)系統(tǒng)做了什么，對(duì)于調(diào)查人員而言，更有幫助。

0X02 審核策略與事件查看器

Windows Server 2008 R2 系統(tǒng)的審核功能在默認(rèn)狀態(tài)下并沒有啟用 ，建議開啟審核策略，若日后系統(tǒng)出現(xiàn)故障、安全事故則可以查看系統(tǒng)的日志文件，排除故障，追查入侵者的信息等。

PS：默認(rèn)狀態(tài)下，也會(huì)記錄一些簡(jiǎn)單的日志，日志默認(rèn)大小20M

設(shè)置1：開始 → 管理工具 → 本地安全策略 → 本地策略 → 審核策略，參考配置操作：

設(shè)置2：設(shè)置合理的日志屬性，即日志最大大小、事件覆蓋閥值等：

查看系統(tǒng)日志方法：

1. 在“開始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”

2. 按 "Window+R"，輸入 ”eventvwr.msc“ 也可以直接進(jìn)入“事件查看器”?
   

0x03 事件日志分析

對(duì)于Windows事件日志分析，不同的EVENT ID代表了不同的意義，摘錄一些常見的安全事件的說明：

事件ID說明4624登錄成功4625登錄失敗4634注銷成功4647用戶啟動(dòng)的注銷4672使用超級(jí)用戶（如管理員）進(jìn)行登錄4720創(chuàng)建用戶

每個(gè)成功登錄的事件都會(huì)標(biāo)記一個(gè)登錄類型，不同登錄類型代表不同的方式：

登錄類型描述說明2交互式登錄（Interactive）用戶在本地進(jìn)行登錄。3網(wǎng)絡(luò)（Network）最常見的情況就是連接到共享文件夾或共享打印機(jī)時(shí)。4批處理（Batch）通常表明某計(jì)劃任務(wù)啟動(dòng)。5服務(wù)（Service）每種服務(wù)都被配置在某個(gè)特定的用戶賬號(hào)下運(yùn)行。7解鎖（Unlock）屏保解鎖。8網(wǎng)絡(luò)明文（NetworkCleartext）登錄的密碼在網(wǎng)絡(luò)上是通過明文傳輸?shù)?，如FTP。9新憑證（NewCredentials）使用帶/Netonly參數(shù)的RUNAS命令運(yùn)行一個(gè)程序。10遠(yuǎn)程交互，（RemoteInteractive）通過終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問計(jì)算機(jī)。11緩存交互（CachedInteractive）以一個(gè)域用戶登錄而又沒有域控制器可用

關(guān)于更多EVENT ID，詳見微軟官方網(wǎng)站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的說明”。

原文鏈接 ：https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

案例1：可以利用eventlog事件來查看系統(tǒng)賬號(hào)登錄情況：

1. 在“開始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”；

2. 在事件查看器中，單擊“安全”，查看安全日志；

3. 在安全日志右側(cè)操作中，點(diǎn)擊“篩選當(dāng)前日志”，輸入事件ID進(jìn)行篩選。
   4624 --登錄成功 4625 --登錄失敗 4634 -- 注銷成功 4647 -- 用戶啟動(dòng)的注銷 4672 -- 使用超級(jí)用戶（如管理員）進(jìn)行登錄

我們輸入事件ID：4625進(jìn)行日志篩選，發(fā)現(xiàn)事件ID：4625，事件數(shù)175904，即用戶登錄失敗了175904次，那么這臺(tái)服務(wù)器管理員賬號(hào)可能遭遇了暴力猜解。

案例2：可以利用eventlog事件來查看計(jì)算機(jī)開關(guān)機(jī)的記錄：

1、在“開始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”；

2、在事件查看器中，單擊“系統(tǒng)”，查看系統(tǒng)日志；

3、在系統(tǒng)日志右側(cè)操作中，點(diǎn)擊“篩選當(dāng)前日志”，輸入事件ID進(jìn)行篩選。

其中事件ID 6006 ID6005、 ID 6009就表示不同狀態(tài)的機(jī)器的情況（開關(guān)機(jī)）。 6005 信息 EventLog 事件日志服務(wù)已啟動(dòng)。(開機(jī)) 6006 信息 EventLog 事件日志服務(wù)已停止。(關(guān)機(jī)) 6009 信息 EventLog 按ctrl、alt、delete鍵(非正常)關(guān)機(jī)

我們輸入事件ID：6005-6006進(jìn)行日志篩選，發(fā)現(xiàn)了兩條在2018/7/6 17:53:51左右的記錄，也就是我剛才對(duì)系統(tǒng)進(jìn)行重啟的時(shí)間。

0x04 日志分析工具

Log Parser

Log Parser（是微軟公司出品的日志分析工具，它功能強(qiáng)大，使用簡(jiǎn)單，可以分析基于文本的日志文件、XML 文件、CSV（逗號(hào)分隔符）文件，以及操作系統(tǒng)的事件日志、注冊(cè)表、文件系統(tǒng)、Active Directory。它可以像使用 SQL 語(yǔ)句一樣查詢分析這些數(shù)據(jù)，甚至可以把分析結(jié)果以各種圖表的形式展現(xiàn)出來。

Log Parser 2.2下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

基本查詢結(jié)構(gòu)

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

使用Log Parser分析日志

1、查詢登錄成功的事件

登錄成功的所有事件 LogParser.exe -i:EVT –o:DATAGRID ?"SELECT * ?FROM c:\Security.evtx where EventID=4624" 指定登錄時(shí)間范圍的事件： LogParser.exe -i:EVT –o:DATAGRID ?"SELECT * ?FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624" 提取登錄成功的用戶名和IP： LogParser.exe -i:EVT ?–o:DATAGRID ?"SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

2、查詢登錄失敗的事件

登錄失敗的所有事件： LogParser.exe -i:EVT –o:DATAGRID ?"SELECT * ?FROM c:\Security.evtx where EventID=4625" 提取登錄失敗用戶名進(jìn)行聚合統(tǒng)計(jì)： LogParser.exe ?-i:EVT "SELECT ?EXTRACT_TOKEN(Message,13,' ') ?as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"

3、系統(tǒng)歷史開關(guān)機(jī)記錄：

LogParser.exe -i:EVT –o:DATAGRID ?"SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

LogParser Lizard

對(duì)于GUI環(huán)境的Log Parser Lizard，其特點(diǎn)是比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設(shè)置，寫好基本的SQL語(yǔ)句，就可以直觀的得到結(jié)果。

下載地址：http://www.lizard-labs.com/log_parser_lizard.aspx

依賴包：Microsoft .NET Framework 4 .5，下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=42642

查詢最近用戶登錄情況：

Event Log Explorer

Event Log Explorer是一款非常好用的Windows日志分析工具?？捎糜诓榭?，監(jiān)視和分析跟事件記錄，包括安全，系統(tǒng)，應(yīng)用程序和其他微軟Windows 的記錄被記載的事件，其強(qiáng)大的過濾功能可以快速的過濾出有價(jià)值的信息。

下載地址：https://event-log-explorer.en.softonic.com/