一、Windows日志简介
Windows系统日志是记录系统中硬件、软件和系统问题等信息的关键工具,它能够监视系统中发生的事件,这些日志对于检查错误发生的原因或在受到攻击时查找攻击者留下的痕迹极为重要,Windows主要有以下三类日志记录系统事件:
1、应用程序日志:记录由应用程序产生的事件。
2、系统日志:记录由系统组件产生的事件。
3、安全日志:记录与安全相关的事件,如登录/注销、资源访问等。
各类日志文件的位置通常如下:
应用程序日志:C:WindowsSystem32winevtLogsApplication.evtx
系统日志:C:WindowsSystem32winevtLogsSystem.evtx
安全日志:C:WindowsSystem32winevtLogsSecurity.evtx
二、事件日志分析
1. 事件类型
Windows事件日志包含五种类型的事件:
1、错误:包括软件、硬件和系统产生的错误,这类错误通常需要管理员的关注。
2、警告:不是当前问题的指示,但可能会预示未来的问题,磁盘空间不足的警告。
3、信息:描述应用程序、驱动程序或服务的成功操作,有人成功登录系统。
4、成功审核:审核安全访问尝试并指示成功的尝试,用户成功登录。
5、失败审核:审核安全访问尝试并指示失败的尝试,用户试图访问网络驱动器但失败了。
2. 登录类型
常见的登录类型及其描述如下表所示:
| 登录类型 | 描述 | 说明 |
| 2 | 交互式登录(Interactive) | 用户在本地进行登录。 |
| 3 | 网络(Network) | 最常见的情况就是连接到共享文件夹或共享打印机时。 |
| 4 | 批处理(Batch) | 通常表明某计划任务启动。 |
| 5 | 服务(Service) | 每种服务都被配置在某个特定的用户账号下运行。 |
| 7 | 解锁(Unlock) | 屏保解锁。 |
| 8 | 网络明文(NetworkCleartext) | 登录的密码在网络上是通过明文传输的,如FTP。 |
| 9 | 新凭证(NewCredentials) | 使用带/Netonly参数的RUNAS命令运行一个程序。 |
| 10 | 远程交互(RemoteInteractive) | 通过终端服务、远程桌面或远程协助访问计算机。 |
| 11 | 缓存交互(CachedInteractive) | 以一个域用户登录而又没有域控制器可用。 |
3. 事件日志查看器
事件查看器(Event Viewer)是Windows提供的一个强大工具,用于查看和管理各种类型的系统日志,打开事件查看器的步骤如下:
1、按Win + X 键,然后选择“事件查看器”。
2、或者按Win + R 键打开“运行”对话框,输入eventvwr.msc,然后按 Enter。
在事件查看器的左侧窗格中,展开“Windows 日志”节点,可以看到以下几种类型的日志:
应用程序:记录应用程序相关的事件。
安全:记录安全相关的事件,如登录和注销活动。
系统:记录系统组件和驱动程序的事件。
设置:记录系统设置更改的事件。
转发事件:记录从其他计算机转发的事件。
4. 常见的日志分析
通过筛选和分析特定的事件ID,可以快速识别出系统或安全问题,以下是一些常见的事件ID及其说明:
| 事件ID | 说明 |
| 4624 | 登录成功 |
| 4625 | 登录失败 |
| 4634 | 注销成功 |
| 4647 | 用户启动的注销 |
| 4648 | 试图使用显式凭据登录。 |
| 4720 | 创建用户 |
| 4774 | 帐户已登录映射。 |
| 4775 | 无法映射的登录帐户。 |
| 4776 | 计算机试图验证的帐户凭据。 |
| 4777 | 域控制器无法验证帐户的凭据 |
| 4778 | 到窗口站重新连接会话。 |
| 4779 | 从窗口站,会话已断开连接。 |
| 6005 | 表示计算机日志服务已启动,如果在事件查看器中发现某日的事件D号为6005就 |
三、日志分析攻击
1. LogParser简介
LogParser是一个强大的日志分析工具,适用于Windows操作系统,它可以对IT安全日志进行分析,并关联出系统的异常行为,下载地址为[LogParser官网](https://www.microsoft.com/en-us/download/details.ptId=24659)。
2. LogParser的使用教程
安装完成后,可以通过以下方式使用LogParser进行日志分析:
1、基本语法:
Logparser -i:EVT "SELECT * FROM Application WHERE TimeGenerated > '01/01/2023'" -o:DATAGRID
上述命令将筛选出2023年1月1日之后的所有应用程序日志,并以表格形式显示。
2、导出结果:
Logparser -i:EVT "SELECT * INTO C:output.csv FROM Application" -o:CSV
上述命令将应用程序日志导出为CSV文件。
3、筛选特定事件ID:
Logparser -i:EVT "SELECT * FROM Security WHERE EventID=4624 OR EventID=4625" -o:DATAGRID
上述命令将筛选出安全日志中所有登录成功(4624)和登录失败(4625)的事件。
四、常见问题与解答
Q1: 如何定期备份系统日志?
A1: 可以通过任务计划程序定期执行脚本来备份系统日志,使用PowerShell脚本定期导出日志文件:
$logFile = "C:PathToLogfile.evtx"
$backupPath = "C:PathToBackup$((Get-Date).ToString('yyyyMMdd')).evtx"
Copy-Item $logFile -Destination $backupPath
将上述脚本添加到任务计划程序中,并设置适当的运行频率即可。
Q2: 如何查找特定时间段内的安全日志?
A2: 可以使用LogParser的时间筛选功能来查找特定时间段内的安全日志,要查找2023年10月1日至2023年10月7日之间的所有登录成功和失败的事件,可以使用以下命令:
Logparser -i:EVT "SELECT * FROM Security WHERE (TimeGenerated >= '2023-10-01') AND (TimeGenerated <= '2023-10-07') AND (EventID=4624 OR EventID=4625)" -o:DATAGRID
此命令将返回指定时间段内所有登录成功和失败的事件。
Windows日志分析是确保系统安全性和稳定性的重要手段,通过合理利用事件查看器和LogParser等工具,可以有效地监控和分析系统日志,及时发现潜在的安全隐患和系统问题,希望本文提供的详细指南能帮助读者更好地理解和应用Windows日志分析技术。
到此,以上就是小编对于“分析windows日志”的问题就介绍到这了,希望介绍的几点解答对大家有用,有任何问题和不懂的,欢迎各位朋友在评论区讨论,给我留言。
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/678856.html
微信扫一扫 