应急响应之windows日志排查
作者:互联网
目录
windows日志分类
系统日志
记录操作系统组件产生的事件,主要包括操作系统驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等事件。系统日志中记录的时间类型由Windows NT/2K操作系统预先定义。
默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。
默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx
系统内置的以上三个核心日志文件默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。
如何打开日志
我的电脑右键管理,如下,这里着重看安全日志
日志字段说明
Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本:
| 事件ID | 说明 |
|---|---|
| 1102 | 清理审计日志 |
| 4624 | 账号成功登录 |
| 4625 | 账号登录失败 |
| 4768 | Kerberos身份验证(TGT请求) |
| 4769 | Kerberos服务票证请求 |
| 4776 | NTLM身份验证 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从启用安全的本地组中移除 |
| 4756 | 将成员添加到启用安全的通用组中 |
| 4757 | 将成员从启用安全的通用组中移除 |
| 4719 | 系统审计策略修改 |
五种事件类型中,最为重要的是成功审核(Success Audit),所有系统登录成功都会被标记成为成功审核。每个成功登录的事件都会标记一个登录类型:
| 登录类型 | 描述 |
|---|---|
| 2 | 交互式登录(用户从本地键盘上进行登录) |
| 3 | 网络(例如:通过net use,访问共享网络) |
| 4 | 批处理(为批处理程序保留) |
| 5 | 服务启动(服务登录) |
| 6 | 不支持 |
| 7 | 解锁,当用户离开计算机,屏保就会启动锁定计算机,需要输入密码才能重新进入。(失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机) |
| 8 | 网络明文,像类型3一样,这种登录的密码在网络上是通过明文传输的。 |
| 10 | 远程交互(终端服务,远程桌面,远程辅助) |
| 11 | 缓存域证书登录 |
日志分析
1. 查找创建账号的日志
如下进行筛选
如下,根据日志,我们可以分析出历史创建账号的一些信息。
2. 筛选账号成功登录的日志
如下登录类型为2,代表该账号是从本地进行登录
运用上面的方法,就自己可以进行一些排查了。
推荐使用安全分析工具进行分析,如
Log Parser 2.2:https://download.microsoft.com/download/f/f/1/ff1819f9-f702-48a5-bbc7-c9656bc74de8/LogParser.msi
使用参考:https://www.jb51.net/hack/384430.html
标签:组中,登录,记录,windows,排查,事件,日志,安全 来源: https://blog.csdn.net/qq_44159028/article/details/118575732