系统相关
首页 > 系统相关> > 应急响应之windows日志排查

应急响应之windows日志排查

作者:互联网

目录

windows日志分类

日志字段说明

日志分析


windows日志分类

系统日志
        记录操作系统组件产生的事件,主要包括操作系统驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等事件。系统日志中记录的时间类型由Windows NT/2K操作系统预先定义。
默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志
        包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志
        记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。
默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

系统内置的以上三个核心日志文件默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

如何打开日志

我的电脑右键管理,如下,这里着重看安全日志

日志字段说明

Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本:

事件ID说明
1102清理审计日志
4624账号成功登录
4625账号登录失败
4768Kerberos身份验证(TGT请求)
4769Kerberos服务票证请求
4776NTLM身份验证
4672授予特殊权限
4720创建用户
4726删除用户
4728将成员添加到启用安全的全局组中
4729将成员从安全的全局组中移除
4732将成员添加到启用安全的本地组中
4733将成员从启用安全的本地组中移除
4756将成员添加到启用安全的通用组中
4757将成员从启用安全的通用组中移除
4719系统审计策略修改

五种事件类型中,最为重要的是成功审核(Success Audit),所有系统登录成功都会被标记成为成功审核。每个成功登录的事件都会标记一个登录类型:

登录类型描述
2交互式登录(用户从本地键盘上进行登录)
3网络(例如:通过net use,访问共享网络)
4批处理(为批处理程序保留)
5服务启动(服务登录)
6不支持
7解锁,当用户离开计算机,屏保就会启动锁定计算机,需要输入密码才能重新进入。(失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机)
8网络明文,像类型3一样,这种登录的密码在网络上是通过明文传输的。
10远程交互(终端服务,远程桌面,远程辅助)
11缓存域证书登录

日志分析

1. 查找创建账号的日志

如下进行筛选

如下,根据日志,我们可以分析出历史创建账号的一些信息。

2. 筛选账号成功登录的日志

如下登录类型为2,代表该账号是从本地进行登录

运用上面的方法,就自己可以进行一些排查了。

推荐使用安全分析工具进行分析,如

Log Parser 2.2:https://download.microsoft.com/download/f/f/1/ff1819f9-f702-48a5-bbc7-c9656bc74de8/LogParser.msi

使用参考:https://www.jb51.net/hack/384430.html

标签:组中,登录,记录,windows,排查,事件,日志,安全
来源: https://blog.csdn.net/qq_44159028/article/details/118575732