Windows应急响应和系统加固(7)——Windows操作系统日志分析

windows操作系统日志分析

一、windows操作系统日志介绍：

　　1.windows操作系统日志介绍：

　　　　<1>.windows操作系统在运行生命周期，以特定数据结构方式存储、记录os大量运行的日志信息，例如：system、security、application... ...，主要包括：windows事件日志（event log）、windows web server iis日

志、windows ftp日志、exchange server邮件服务、ms sql server数据库日志等。

　　　　<2>.windows日志包含9个元素：日期/时间、事件类型、用户、计算机、事件id、来源、类别、描述、数据... ... ...。

　　　　<3>.系统内置3个核心日志文件（system、security、application）;

　　　　　　默认大小均为20480kb（20mb）,数据超过20mb，默认系统将优先覆盖过期日志记录。

　　　　<5>.应用程序、服务日志默认最大1024kb，超过最大限制也优先覆盖过期的日志记录。

　　2.windows事件日志，共有五种事件类型：

　　　　注：所有事件必须拥有五种事件类型中的一种，且只可以有一种。 

　　　　<1>.信息（information）

　　　　　　指应用程序、驱动程序、服务的成功操作的事件。

　　　　<2>.警告（warning）

　　　　　　运行故障和警告信息。例如，删除硬盘操作。

　　　　<3>.错误（error）

　　　　　　通常指功能和数据的丢失。e.g.如果一个服务不能作为系统引导被加载，即会产生一个错误事件。

　　　　<4>.成功审核（success audit）

　　　　　　成功审核的安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、目录服务访问、账户登录等事件。

　　　　　　注：所有成功登录系统的事件，都被记录“ 成功审核”事件。id号4624。

　　　　<5>.失败审核（failure audit）

　　　　　　失败审核的安全登录尝试。

　　　　　　注：用户试图通过rdp 3389尝试的失败登录，都以失败审核事件记录下来。id号4625。

　　3.几种类型windows日志：

　　　　<1>.system系统日志：

　　　　　　系统进程、设备、磁盘活动等。记录了设备驱动无法正常启动或停止，硬件失败，重复ip地址，系统进程的启动，停止及暂停等行为。

　　　　<2>.security安全日志：

　　　　　　包含安全性相关的事件。e.g.用户权限变更，登录及注销，文件/文件夹访问等信息。

　　　　<3>.application应用程序日志：

　　　　　　包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息，应用程序开发人员可以决定记录哪些信息。

　　　　<4>.应用程序及服务日志:

　　　　　　如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。

　　注：可在windows操作系统中打开cmd指令，输入"eventvwr.msc"打开日志，"windows日志"文件里面找到系统日志。

　　4.关于windows操作系统日志的删除：

　　　　windows操作系统默认没有提供删除特定日志记录的功能，仅提供删除所有日志的操作功能，因此，日志记录id（event record id）应该是连续的(默认的排序方式应是从大到小往下排列)，当发现日志为不连续的时候，要警惕是

否日志被删除了。

　　　　早期版本windows日志只有应用程序、安全、系统、setup安装，新版本os增加了设置及转发事件日志（默认禁用），如需要的话可以打开。

　　5.导出windows日志文件：

　　　　右击所需要保存的日志，选择"将所有日志另存为"，可选格式如图：.evtx、.xml、.txt、.csv，

 　　6.windows日志事件id和登陆类型：

　　　　<1>.windows日志事件id：

　　　　　　4624，成功的登录；

　　　　　　4625，失败的尝试；

　　　　　　4672，授予特殊权限；

　　　　　　4720，添加用户；

　　　　　　4726，删除用户；

　　　　　　4634，成功的注销；

　　　　　　4672，超级用户登录；

　　　　<2>.windows日志事件的登录类型：

　　　　　　每个成功登录的事件都会标记一个登录类型，不同登录类型，代表不同的方式。

　　　　详细的安全事件的说明：

二、windows操作系统日志分析：

　　1.log parser：

　　　　<1>.介绍：

　　　　　　　　微软出品日志分析工具，具备通用日志分析能力；

　　　　　　　　可实现分析windows系统日志、iis、apache、tomcat、nginx等日志；

　　　　　　　　功能强大，可分析基于文本的日志文件、xml 文件、csv逗号分隔符文件，以及操作系统事件日志、注册表、文件系统、active directory。

　　　　　　　　可使用sql语句查询分析日志数据，甚至可以将分析结果以各种图表的形式展现。

　　　　<2>.下载地址：

　　　　<3>.log parser的辅助、加强工具，图形化界面操作--log parser lizard gui。

　　　　　　下载地址：

　　2.splunk日志数据分析平台 ：

　　　　<1>.介绍：

　　　　　　splunk是强大的日志数据收集、索引、分析和处理、搜索引擎。

　　　　<2>.下载地址：

　　3.logontracer ：

　　　　<1>.介绍：

　　　　　　windows系统，安全登录日志分析工具logontracer

　　　　<2>.下载地址：

　　　　　　https://github.com/thekingofduck/logontracer