创建或修改目录:/www/wwwroot/104.219.215.234/data 失败!
图片jisoo ai换脸
01
Windows事件日记简介
Windows事件日记文献试验上是数据库,其中包括关相关统、安全、应用设施的记录。记录的事件包含9个元素:日历/时间、事件类型、用户、策画机、事件ID、开首、类别、面貌、数据等信息。
Windows事件日记共有五种事件类型,所有这个词的事件必须只可领有其中的一种事件类型。
1.信息(Information)信息事件指应用设施、驱动设施或办事的告捷操作的事件。2.警告(Warning)警告事件指不是胜仗的、主要的,然而会导致改日问题发生的问题。举例,当磁盘空间不及或未找到打印机时,皆会记录一个“警告”事件。3. 造作(Error)造办事件指用户应该知说念的环节的问题。造办事件频频指功能和数据的丢失。举例, 如果一个办事不可四肢系统率领被加载,那么它会产生一个造办事件。4. 告捷审核(Success audit)告捷的审核安全看望尝试,主如果指安全性日记,这里记录着用户登录/刊出、对象看望、特权使用、账户科罚、计谋篡改、闪耀追踪、目次办事看望、账户登录等事件,举例所有这个词的告捷登录系统皆会被记录为“告捷审核”事件5.失败审核(Failure audit)失败的审核安全登录尝试,举例用户试图看望网罗驱动器失败,则该尝试会被四肢失败审核事件记录下来。早在1993年的Windows NT3.1,微软就运愚弄用事件日记来记录多样事件的信息。在NT的进化历程中,事件日记的文献名和文献存放位置一直保捏不变,在Windows NT/Win2000/XP/Server 2003中, 日记文献的膨胀名一直是evt,存储位置为“%systemroot%\System32\config”。从Windows Vista和Server 2008运行,日记文献的文献名、结构和存储位置发生了广宽改变, 文献膨胀名改为evtx (XML时事) ,存储位置改为“%systemroot%\System32\WinEvt\logs”。
1、系统日记记录操作系统组件产生的事件,主要包括驱动设施、系统组件和应用软件的崩溃以及数据。默许位置:C:\WINDOWS\system32\config\SysEvent.EvtC:\WINDOWS\system32\winevt\Logs\System.evtx 2.应用设施日记包含由应用设施或系统设施记录的事件,主要记录设施运行方面的事件。默许位置:C:\WINDOWS\system32\config\AppEvent.EvtC:\WINDOWS\system32\winevt\Logs\Application.evtx 3.安全日记记录系统的安全审计事件,包含多样类型的登录日记、对象看望日记、进度追踪日记、特权使用、帐号科罚、计谋变更、系统事件。安全日记亦然侦查取证中最常用到的日记。默许修复下,安全性日记是关闭的,科罚员不错使用组计谋来启动安全性日记,省略在注册表中修复审核计谋,以便当安全性日记满后使系统罢手反映。默许位置:C:\WINDOWS\system32\config\SecEvent.EvtC:\WINDOWS\system32\winevt\Logs\Security.evtx固然确切所有这个词事件记录在侦查历程中皆或多或少带来匡助,然而大大批的侦查取证中,安全日记中找到行踪的可能性最大。系统和应用设施日记存储着故障放手信息,关于系统科罚员更为灵验。安全日记记录着事件审计信息,包括用户考据(登录、而已看望等)和特定用户在认证后对系统作念了什么,关于侦查东说念主员而言,更有匡助。
02
审核计谋与事件检验器
开启审核计谋,成就根据试验业务日记属性,因为有些系统审核功能在默许情景下并莫得启用,冷落开启审核计谋,若日后系统出现故障、安全事故则不错检验系统的日记文献,放手故障,追查入侵者的信息等。
1、成就安全计谋运行 → 科罚器用 → 土产货安全计谋 → 土产货计谋 → 审核计谋,根据试验情况进行成就win + r -> 输入 secpol.msc2、修复合理的日记属性,即日记最大大小、事件隐敝阀值等win + R --> 输入 eventvwr.msc ,进行日记属性成就。3、检验系统日记设施:在“运行”菜单上,次第指向“所有这个词设施”、“科罚器用”,然后单击“事件检验器”Win + R,输入 eventvwr.msc 胜仗投入“事件检验器”图片
图片
第4色 官网03
事件日记分析
关于Windows事件日记分析,不同的EVENT ID代表了不同的意旨,节录一些常见的安全事件的评释:
事件ID 评释4624 登录告捷4625 登录失败4634 刊出告捷4647 用户启动的刊出4672 使用超等用户(如科罚员)进行登录4720 创建用户每个告捷登录的事件皆会符号一个登录类型,不同登录类型代表不同的模式:登录类型 面貌 评释2 交互式登录(Interactive) 用户在土产货进行登录。3 网罗(Network) 最常见的情况即是衔尾到分享文献夹或分享打印机时。Window 安全事件(EVENT ID)查询表4 批处理(Batch) 频频标明某运筹帷幄任务启动。5 办事(Service) 每种办事皆被成就在某个特定的用户账号下运行。7 解锁(Unlock) 屏保解锁。8 网罗明文(NetworkCleartext) 登录的密码在网罗上是通过明文传输的,如FTP。9 新凭据(NewCredentials) 使用带/Netonly参数的RUNAS呐喊运行一个设施。10 而已交互,(RemoteInteractive) 通过终局办事、而已桌面或而已协助看望策画机。11 缓存交互(CachedInteractive) 以一个域用户登录而又莫得域限度器可用
Window 安全事件(EVENT ID)查询表
Beret-Sec,公众号:贝雷帽SECWindow 安全事件(EVENT ID)查询表04
使用powershell 日记分析
使用 powershell的 Get-EventLog 和 Get-WinEvent 呐喊进行日记获得分析。
1、Get-EventLog 从土产货和而已策画机获得事件和事件日记。默许情况下, Get-EventLog 从土产货策画机获得日记。
Get-EventLog 常用示例
Beret-Sec,公众号:贝雷帽SECWindow 日记分析——PowerShell呐喊2、Get-WinEvent 从事件日记中获得事件,包括经典日记,举例系统和应用设施日记。cmdlet 从 Windows Vista 中引入的 Windows 事件日记技巧生成的事件日记中获得数据,以及 Windows (ETW) 事件追踪 生成的日记文献中的事件。默许情况下, Get-WinEvent 按最新到最旧的规矩复返事件信息。
Get-WinEvent 常用示例
Beret-Sec,公众号:贝雷帽SECWindow 日记分析——PowerShell呐喊205
使用日记分析器用
5.1 系统自带器用
使用系统自带查询器用进行分析可胜仗修复查询条目进行过滤省略使用手动剪辑的模式进行查询。
图片
5.2 常用日记分析器用
1、LogParserLogParser是微软公司提供的一款日记分析器用,不错对基于文本时事的日记文献、XML文献和CSV文献,以及Windows操作系统上的事件日记、注册表、文献系统等等进行处理分析,分析遵循不错保存在基于文本的自界说时事中、SQL省略是利用多样图表进行展示。下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659使用语法:LogParser –i:输入文献的时事 –o:思要输出的时事 “SQL语句”登录告捷的所有这个词事件LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624'指定登录时间限度的事件:LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where TimeGenerated>'2021-04-25 00:00:01' and TimeGenerated<'2021-04-30 00:00:01' and EventID=4624'索求登录告捷的用户名和IP:LogParser.exe -i:EVT –o:DATAGRID 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4624'登录失败的所有这个词事件:LogParser.exe -i:EVT –o:DATAGRID 'SELECT recordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM .\Security1.evtx where EventID=4625'索求登录失败用户名进行团员统计:LogParser.exe -i:EVT 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM .\Security1.evtx where EventID=4625 GROUP BY Message'系统历史开关机记录:LogParser.exe -i:EVT –o:DATAGRID 'SELECT TimeGenerated,EventID,Message FROM .\System1.evtx where EventID=6005 or EventID=6006'更多使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
图片
2、LogParser Lizard
Log Parser Lizard是一款专科实用的日记分析软件。该款器用不错将日记查询遵循导出Excel、图表、仪容板等时事,罗致数据挖掘和多维分析技巧分析出遵循,内置抒发式剪辑器、过滤器剪辑器、数据透视表、表格等器用,为您进行日记分析带来极大的便利。
下载领会:https://www.lizard-labs.com/log_parser_lizard_download.aspx图片
3、Event Log Explorer
Event Log Explorer是一款相配好用的Windows日记分析器用。可用于检验,监视和分析跟事件记录,包括安全,系统,应用设施和其他微软Windows 的记录被纪录的事件,其苍劲的过滤功能不错快速的过滤出有价值的信息。
下载领会:https://event-log-explorer.en.softonic.com/
图片
4、Logfusion
LogFusion是一款功能苍劲的及时日记监控应用设施,专为系统科罚员和开辟东说念主员想象!使用自界说卓越通晓规矩、过滤等。您以至不错在策画机之间同步LogFusion修复。
下载领会:https://www.logfusion.ca/Download/图片
参考领会:https://zhuanlan.zhihu.com/p/385105096?utm_id=0
图片
本站仅提供存储办事,所有这个词内容均由用户发布,如发现存害或侵权内容,请点击举报。