发布日期:2024-09-28 06:27 点击次数:162
图片软件开发价格
01
Windows事件日记简介
Windows事件日记文献本色上是数据库,其中包括联系系统、安全、应用要道的记录。记录的事件包含9个元素:日历/时候、事件类型、用户、计较机、事件ID、开始、类别、状貌、数据等信息。
Windows事件日记共有五种事件类型,通盘的事件必须只可领有其中的一种事件类型。
1.信息(Information)信息事件指应用要道、驱动要道或办事的到手操作的事件。2.劝诫(Warning)劝诫事件指不是奏凯的、主要的,然则会导致异日问题发生的问题。举例,当磁盘空间不及或未找到打印机时,皆会记录一个“劝诫”事件。3. 差错(Error)差错事件指用户应该知说念的要害的问题。差错事件不竭指功能和数据的丢失。举例, 如果一个办事不行动作系统疏导被加载,那么它会产生一个差错事件。4. 到手审核(Success audit)到手的审核安全造访尝试,主淌若指安全性日记,这里记录着用户登录/刊出、对象造访、特权使用、账户解决、政策更始、详备追踪、目次办事造访、账户登录等事件,举例通盘的到手登录系统皆会被记录为“到手审核”事件5.失败审核(Failure audit)失败的审核安全登录尝试,举例用户试图造访网罗驱动器失败,则该尝试会被动作失败审核事件记录下来。早在1993年的Windows NT3.1,微软就启动使用事件日记来记录各式事件的信息。在NT的进化历程中,事件日记的文献名和文献存放位置一直保执不变,在Windows NT/Win2000/XP/Server 2003中, 日记文献的彭胀名一直是evt,存储位置为“%systemroot%\System32\config”。从Windows Vista和Server 2008启动,日记文献的文献名、结构和存储位置发生了雄壮蜕变, 文献彭胀名改为evtx (XML表情) ,存储位置改为“%systemroot%\System32\WinEvt\logs”。
1、系统日记记录操作系统组件产生的事件,主要包括驱动要道、系统组件和应用软件的崩溃以及数据。默许位置:C:\WINDOWS\system32\config\SysEvent.EvtC:\WINDOWS\system32\winevt\Logs\System.evtx 2.应用要道日记包含由应用要道或系统要道记录的事件,主要记录要道运行方面的事件。默许位置:C:\WINDOWS\system32\config\AppEvent.EvtC:\WINDOWS\system32\winevt\Logs\Application.evtx 3.安全日记记录系统的安全审计事件,包含各式类型的登录日记、对象造访日记、程度追踪日记、特权使用、帐号解决、政策变更、系统事件。安全日记亦然考察取证中最常用到的日记。默许诞生下,安全性日记是关闭的,解决员不错使用组政策来启动安全性日记,能够在注册表中诞生审核政策,以便当安全性日记满后使系统住手反映。默许位置:C:\WINDOWS\system32\config\SecEvent.EvtC:\WINDOWS\system32\winevt\Logs\Security.evtx诚然实在通盘事件记录在考察历程中皆或多或少带来匡助,然则大多半的考察取证中,安全日记中找到痕迹的可能性最大。系统和应用要道日记存储着故障甩掉信息,关于系统解决员更为有效。安全日记记录着事件审计信息,包括用户考证(登录、良友造访等)和特定用户在认证后对系统作念了什么,关于考察东说念主员而言,更有匡助。
02
审核政策与事件稽察器
开启审核政策,树立根据履行业务日记属性,因为有些系统审核功能在默许景色下并莫得启用,提倡开启审核政策,若日后系统出现故障、安全事故则不错稽察系统的日记文献,甩掉故障,追查入侵者的信息等。
1、树立安全政策启动 → 解决器具 → 土产货安全政策 → 土产货政策 → 审核政策,根据履行情况进行树立win + r -> 输入 secpol.msc2、诞生合理的日记属性,即日记最大大小、事件粉饰阀值等win + R --> 输入 eventvwr.msc ,软件开发价格是多少进行日记属性树立。3、稽察系统日记活动:在“启动”菜单上,按次指向“通盘要道”、“解决器具”,然后单击“事件稽察器”Win + R,输入 eventvwr.msc 奏凯干预“事件稽察器”图片
图片
03
事件日记分析
关于Windows事件日记分析,不同的EVENT ID代表了不同的风趣风趣,选录一些常见的安全事件的发挥:
事件ID 发挥4624 登录到手4625 登录失败4634 刊出到手4647 用户启动的刊出4672 使用超等用户(如解决员)进行登录4720 创建用户每个到手登录的事件皆会秀美一个登录类型,不同登录类型代表不同的方法:登录类型 状貌 发挥2 交互式登录(Interactive) 用户在土产货进行登录。3 网罗(Network) 最常见的情况等于聚会到分享文献夹或分享打印机时。Window 安全事件(EVENT ID)查询表4 批处理(Batch) 不竭标明某谈判任务启动。5 办事(Service) 每种办事皆被树立在某个特定的用户账号下运行。7 解锁(Unlock) 屏保解锁。8 网罗明文(NetworkCleartext) 登录的密码在网罗上是通过明文传输的,如FTP。9 新字据(NewCredentials) 使用带/Netonly参数的RUNAS大呼运行一个要道。10 良友交互,(RemoteInteractive) 通过结尾办事、良友桌面或良友协助造访计较机。11 缓存交互(CachedInteractive) 以一个域用户登录而又莫得域截止器可用
Window 安全事件(EVENT ID)查询表
Beret-Sec,公众号:贝雷帽SECWindow 安全事件(EVENT ID)查询表04
福彩快乐8第2024175期(上周三)回顾:07 09 12 15 17 19 32 33 40 47 48 49 55 58 62 65 66 69 70 73,其中奖号首尾间距为66,和值为846,最大间距为13,尾数分布为:尾数1、4包含0个号码,尾数6包含1个号码,尾数0、3、8包含2个号码,尾数2、5、7包含3个号码,尾数9包含4个号码。
使用powershell 日记分析
使用 powershell的 Get-EventLog 和 Get-WinEvent 大呼进行日记取得分析。
1、Get-EventLog 从土产货和良友计较机取得事件和事件日记。默许情况下, Get-EventLog 从土产货计较机取得日记。
Get-EventLog 常用示例
Beret-Sec,公众号:贝雷帽SECWindow 日记分析——PowerShell大呼2、Get-WinEvent 从事件日记中取得事件,包括经典日记,举例系统和应用要道日记。cmdlet 从 Windows Vista 中引入的 Windows 事件日记时期生成的事件日记中取得数据,以及 Windows (ETW) 事件追踪 生成的日记文献中的事件。默许情况下, Get-WinEvent 按最新到最旧的次第复返事件信息。
Get-WinEvent 常用示例
Beret-Sec,公众号:贝雷帽SECWindow 日记分析——PowerShell大呼205
使用日记分析器具
5.1 系统自带器具
使用系统自带查询器具进行分析可奏凯诞生查询条款进行过滤能够使用手动剪辑的方法进行查询。
图片
5.2 常用日记分析器具
1、LogParserLogParser是微软公司提供的一款日记分析器具,不错对基于文本表情的日记文献、XML文献和CSV文献,以及Windows操作系统上的事件日记、注册表、文献系统等等进行处理分析,分析着力不错保存在基于文本的自界说表情中、SQL能够是专揽各式图表进行展示。下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659使用语法:LogParser –i:输入文献的表情 –o:念念要输出的表情 “SQL语句”登录到手的通盘事件LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624'指定登录时候限制的事件:LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where TimeGenerated>'2021-04-25 00:00:01' and TimeGenerated<'2021-04-30 00:00:01' and EventID=4624'索要登录到手的用户名和IP:LogParser.exe -i:EVT –o:DATAGRID 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624'登录失败的通盘事件:LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4625'索要登录失败用户名进行团聚统计:LogParser.exe -i:EVT 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM .\Security1.evtx where EventID=4625 GROUP BY Message'系统历史开关机记录:LogParser.exe -i:EVT –o:DATAGRID 'SELECT TimeGenerated,EventID,Message FROM .\System1.evtx where EventID=6005 or EventID=6006'更多使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
图片
2、LogParser Lizard
Log Parser Lizard是一款专科实用的日记分析软件。该款器具不错将日记查询着力导出Excel、图表、神情板等表情,继承数据挖掘和多维分析时期分析出着力,内置抒发式剪辑器、过滤器剪辑器、数据透视表、表格等器具,为您进行日记分析带来极大的便利。
下载衔接:https://www.lizard-labs.com/log_parser_lizard_download.aspx图片
3、Event Log Explorer
app开发Event Log Explorer是一款荒谬好用的Windows日记分析器具。可用于稽察,监视和分析跟事件记录,包括安全,系统,应用要道和其他微软Windows 的记录被记录的事件,其苍劲的过滤功能不错快速的过滤出有价值的信息。
下载衔接:https://event-log-explorer.en.softonic.com/
图片
4、Logfusion
LogFusion是一款功能苍劲的及时日记监控应用要道,专为系统解决员和设备东说念主员缱绻!使用自界说超越清楚章程、过滤等。您甚而不错在计较机之间同步LogFusion诞生。
下载衔接:https://www.logfusion.ca/Download/图片
参考衔接:https://zhuanlan.zhihu.com/p/385105096?utm_id=0
图片
本站仅提供存储办事,通盘内容均由用户发布,如发现存害或侵权内容,请点击举报。