0x01 Window事件日志簡介

Windows系統(tǒng)日志是記錄系統(tǒng)中硬件昵时、軟件和系統(tǒng)問題的信息捷雕，同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件椒丧。用戶可以通過它來檢查錯誤發(fā)生的原因，或者尋找受到攻擊時攻擊者留下的痕跡救巷。

Windows主要有以下三類日志記錄系統(tǒng)事件：應用程序日志壶熏、系統(tǒng)日志和安全日志。

系統(tǒng)日志

記錄操作系統(tǒng)組件產(chǎn)生的事件浦译，主要包括驅(qū)動程序久橙、系統(tǒng)組件和應用軟件的崩潰以及數(shù)據(jù)丟失錯誤等。系統(tǒng)日志中記錄的時間類型由Windows?NT/2000操作系統(tǒng)預先定義管怠。

默認位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

應用程序日志

包含由應用程序或系統(tǒng)程序記錄的事件淆衷，主要記錄程序運行方面的事件，例如數(shù)據(jù)庫程序可以在應用程序日志中記錄文件錯誤渤弛，程序開發(fā)人員可以自行決定監(jiān)視哪些事件祝拯。如果某個應用程序出現(xiàn)崩潰情況，那么我們可以從程序事件日志中找到相應的記錄她肯，也許會有助于你解決問題佳头。

默認位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

記錄系統(tǒng)的安全審計事件，包含各種類型的登錄日志晴氨、對象訪問日志康嘉、進程追蹤日志、特權使用籽前、帳號管理亭珍、策略變更、系統(tǒng)事件枝哄。安全日志也是調(diào)查取證中最常用到的日志肄梨。默認設置下，安全性日志是關閉的挠锥，管理員可以使用組策略來啟動安全性日志众羡，或者在注冊表中設置審核策略，以便當安全性日志滿后使系統(tǒng)停止響應蓖租。

默認位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

? 系統(tǒng)和應用程序日志存儲著故障排除信息粱侣，對于系統(tǒng)管理員更為有用。 安全日志記錄著事件審計信息蓖宦，包括用戶驗證（登錄齐婴、遠程訪問等）和特定用戶在認證后對系統(tǒng)做了什么，對于調(diào)查人員而言球昨，更有幫助尔店。

0X02 審核策略與事件查看器

Windows Server 2008 R2 系統(tǒng)的審核功能在默認狀態(tài)下并沒有啟用 眨攘，建議開啟審核策略主慰，若日后系統(tǒng)出現(xiàn)故障嚣州、安全事故則可以查看系統(tǒng)的日志文件，排除故障共螺，追查入侵者的信息等该肴。

PS：默認狀態(tài)下，也會記錄一些簡單的日志藐不，日志默認大小20M

設置1：開始 → 管理工具 → 本地安全策略 → 本地策略 → 審核策略匀哄，參考配置操作：

設置2：設置合理的日志屬性，即日志最大大小雏蛮、事件覆蓋閥值等：

查看系統(tǒng)日志方法：

在“開始”菜單上涎嚼，依次指向“所有程序”盯孙、“管理工具”室叉，然后單擊“事件查看器”

按 "Window+R"挺份，輸入 ”eventvwr.msc“ 也可以直接進入“事件查看器”

0x03 事件日志分析

對于Windows事件日志分析厕妖，不同的EVENT ID代表了不同的意義匙头，摘錄一些常見的安全事件的說明：

事件ID說明

4624登錄成功

4625登錄失敗

4634注銷成功

4647用戶啟動的注銷

4672使用超級用戶（如管理員）進行登錄

4720創(chuàng)建用戶

每個成功登錄的事件都會標記一個登錄類型啤月，不同登錄類型代表不同的方式：

登錄類型描述說明

2交互式登錄（Interactive）用戶在本地進行登錄品腹。

3網(wǎng)絡（Network）最常見的情況就是連接到共享文件夾或共享打印機時苦银。

4批處理（Batch）通常表明某計劃任務啟動姻灶。

5服務（Service）每種服務都被配置在某個特定的用戶賬號下運行铛绰。

7解鎖（Unlock）屏保解鎖。

8網(wǎng)絡明文（NetworkCleartext）登錄的密碼在網(wǎng)絡上是通過明文傳輸?shù)牟恚鏔TP捂掰。

9新憑證（NewCredentials）使用帶/Netonly參數(shù)的RUNAS命令運行一個程序。

10遠程交互曾沈，（RemoteInteractive）通過終端服務尘颓、遠程桌面或遠程協(xié)助訪問計算機。

11緩存交互（CachedInteractive）以一個域用戶登錄而又沒有域控制器可用

關于更多EVENT ID晦譬，詳見微軟官方網(wǎng)站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的說明”疤苹。

原文鏈接 ：https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

案例1：可以利用eventlog事件來查看系統(tǒng)賬號登錄情況：

在“開始”菜單上，依次指向“所有程序”敛腌、“管理工具”卧土，然后單擊“事件查看器”；

在事件查看器中像樊，單擊“安全”尤莺，查看安全日志；

在安全日志右側(cè)操作中生棍，點擊“篩選當前日志”颤霎，輸入事件ID進行篩選。

4624 --登錄成功

4625 --登錄失敗

4634 -- 注銷成功 4647 -- 用戶啟動的注銷

4672 -- 使用超級用戶（如管理員）進行登錄

我們輸入事件ID：4625進行日志篩選，發(fā)現(xiàn)事件ID：4625友酱，事件數(shù)175904晴音，即用戶登錄失敗了175904次，那么這臺服務器管理員賬號可能遭遇了暴力猜解缔杉。

案例2：可以利用eventlog事件來查看計算機開關機的記錄：

1锤躁、在“開始”菜單上，依次指向“所有程序”或详、“管理工具”系羞，然后單擊“事件查看器”；

2霸琴、在事件查看器中椒振，單擊“系統(tǒng)”，查看系統(tǒng)日志梧乘；

3杠人、在系統(tǒng)日志右側(cè)操作中，點擊“篩選當前日志”宋下，輸入事件ID進行篩選嗡善。

其中事件ID 6006 ID6005、 ID 6009就表示不同狀態(tài)的機器的情況（開關機）学歧。 6005 信息 EventLog 事件日志服務已啟動罩引。(開機) 6006 信息 EventLog 事件日志服務已停止。(關機) 6009 信息 EventLog 按ctrl枝笨、alt袁铐、delete鍵(非正常)關機

我們輸入事件ID：6005-6006進行日志篩選，發(fā)現(xiàn)了兩條在2018/7/6 17:53:51左右的記錄横浑，也就是我剛才對系統(tǒng)進行重啟的時間剔桨。

0x04 日志分析工具

Log Parser

Log Parser（是微軟公司出品的日志分析工具，它功能強大徙融，使用簡單洒缀，可以分析基于文本的日志文件、XML 文件欺冀、CSV（逗號分隔符）文件树绩，以及操作系統(tǒng)的事件日志、注冊表隐轩、文件系統(tǒng)饺饭、Active Directory。它可以像使用 SQL 語句一樣查詢分析這些數(shù)據(jù)职车，甚至可以把分析結(jié)果以各種圖表的形式展現(xiàn)出來瘫俊。

Log Parser 2.2下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

基本查詢結(jié)構(gòu)

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

使用Log Parser分析日志

1鹊杖、查詢登錄成功的事件

登錄成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:\Security.evtx where EventID=4624"

指定登錄時間范圍的事件：

LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登錄成功的用戶名和IP：

LogParser.exe -i:EVT? –o:DATAGRID? "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

2、查詢登錄失敗的事件

登錄失敗的所有事件：

LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:\Security.evtx where EventID=4625"

提取登錄失敗用戶名進行聚合統(tǒng)計：

LogParser.exe? -i:EVT "SELECT? EXTRACT_TOKEN(Message,13,' ')? as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"

3扛芽、系統(tǒng)歷史開關機記錄：

LogParser.exe -i:EVT –o:DATAGRID? "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

LogParser Lizard

對于GUI環(huán)境的Log Parser Lizard骂蓖，其特點是比較易于使用，甚至不需要記憶繁瑣的命令胸哥，只需要做好設置涯竟，寫好基本的SQL語句赡鲜，就可以直觀的得到結(jié)果空厌。

下載地址：http://www.lizard-labs.com/log_parser_lizard.aspx

依賴包：Microsoft .NET Framework 4 .5，下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=42642

查詢最近用戶登錄情況：

Event Log Explorer

Event Log Explorer是一款非常好用的Windows日志分析工具银酬〕案可用于查看，監(jiān)視和分析跟事件記錄揩瞪，包括安全赋朦，系統(tǒng)，應用程序和其他微軟Windows 的記錄被記載的事件李破，其強大的過濾功能可以快速的過濾出有價值的信息宠哄。

下載地址：https://event-log-explorer.en.softonic.com/