0x01 Window事件日志簡介

Windows系統(tǒng)日志是記錄系統(tǒng)中硬件檀轨、軟件和系統(tǒng)問題的信息，同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件发侵。用戶可以通過它來檢查錯誤發(fā)生的原因付材，或者尋找受到攻擊時攻擊者留下的痕跡。

Windows主要有以下三類日志記錄系統(tǒng)事件：應(yīng)用程序日志我磁、系統(tǒng)日志和安全日志孽文。

系統(tǒng)日志

記錄操作系統(tǒng)組件產(chǎn)生的事件，主要包括驅(qū)動程序夺艰、系統(tǒng)組件和應(yīng)用軟件的崩潰以及數(shù)據(jù)丟失錯誤等芋哭。系統(tǒng)日志中記錄的時間類型由Windows?NT/2000操作系統(tǒng)預(yù)先定義。

默認(rèn)位置：%SystemRoot%System32WinevtLogsSystem.evtx

應(yīng)用程序日志

包含由應(yīng)用程序或系統(tǒng)程序記錄的事件郁副，主要記錄程序運行方面的事件减牺，例如數(shù)據(jù)庫程序可以在應(yīng)用程序日志中記錄文件錯誤，程序開發(fā)人員可以自行決定監(jiān)視哪些事件存谎。如果某個應(yīng)用程序出現(xiàn)崩潰情況拔疚，那么我們可以從程序事件日志中找到相應(yīng)的記錄，也許會有助于你解決問題既荚。

默認(rèn)位置：%SystemRoot%System32WinevtLogsApplication.evtx

安全日志

記錄系統(tǒng)的安全審計事件稚失，包含各種類型的登錄日志、對象訪問日志恰聘、進(jìn)程追蹤日志句各、特權(quán)使用吸占、帳號管理、策略變更凿宾、系統(tǒng)事件矾屯。安全日志也是調(diào)查取證中最常用到的日志。默認(rèn)設(shè)置下初厚，安全性日志是關(guān)閉的问拘，管理員可以使用組策略來啟動安全性日志，或者在注冊表中設(shè)置審核策略惧所，以便當(dāng)安全性日志滿后使系統(tǒng)停止響應(yīng)。

默認(rèn)位置：%SystemRoot%System32WinevtLogsSecurity.evtx

系統(tǒng)和應(yīng)用程序日志存儲著故障排除信息绪杏，對于系統(tǒng)管理員更為有用下愈。安全日志記錄著事件審計信息，包括用戶驗證（登錄蕾久、遠(yuǎn)程訪問等）和特定用戶在認(rèn)證后對系統(tǒng)做了什么势似，對于調(diào)查人員而言，更有幫助僧著。

0X02 審核策略與事件查看器

Windows Server 2008 R2 系統(tǒng)的審核功能在默認(rèn)狀態(tài)下并沒有啟用 履因，建議開啟審核策略，若日后系統(tǒng)出現(xiàn)故障盹愚、安全事故則可以查看系統(tǒng)的日志文件栅迄，排除故障，追查入侵者的信息等皆怕。

PS：默認(rèn)狀態(tài)下毅舆，也會記錄一些簡單的日志，日志默認(rèn)大小20M

設(shè)置1：開始 → 管理工具 → 本地安全策略 → 本地策略 → 審核策略愈腾，參考配置操作：

設(shè)置2：設(shè)置合理的日志屬性憋活，即日志最大大小、事件覆蓋閥值等：

查看系統(tǒng)日志方法：

在“開始”菜單上虱黄，依次指向“所有程序”悦即、“管理工具”，然后單擊“事件查看器”

按 "Window+R"橱乱，輸入 ”eventvwr.msc“ 也可以直接進(jìn)入“事件查看器”

0x03 事件日志分析

對于Windows事件日志分析辜梳，不同的EVENT ID代表了不同的意義，摘錄一些常見的安全事件的說明：

每個成功登錄的事件都會標(biāo)記一個登錄類型泳叠，不同登錄類型代表不同的方式：

關(guān)于更多EVENT ID冗美，詳見微軟官方網(wǎng)站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的說明”。

原文鏈接 ：https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

案例1：可以利用eventlog事件來查看系統(tǒng)賬號登錄情況：

在“開始”菜單上析二，依次指向“所有程序”粉洼、“管理工具”节预，然后單擊“事件查看器”；

在事件查看器中属韧，單擊“安全”安拟，查看安全日志；

在安全日志右側(cè)操作中宵喂，點擊“篩選當(dāng)前日志”糠赦，輸入事件ID進(jìn)行篩選。

4624 ?--登錄成功 ??

4625 ?--登錄失敗 ?

4634 -- 注銷成功

4647 -- 用戶啟動的注銷 ??

4672 -- 使用超級用戶（如管理員）進(jìn)行登錄

我們輸入事件ID：4625進(jìn)行日志篩選锅棕，發(fā)現(xiàn)事件ID：4625拙泽，事件數(shù)175904，即用戶登錄失敗了175904次裸燎，那么這臺服務(wù)器管理員賬號可能遭遇了暴力猜解顾瞻。

案例2：可以利用eventlog事件來查看計算機開關(guān)機的記錄：

1、在“開始”菜單上德绿，依次指向“所有程序”荷荤、“管理工具”，然后單擊“事件查看器”移稳；

2蕴纳、在事件查看器中，單擊“系統(tǒng)”个粱，查看系統(tǒng)日志古毛；

3、在系統(tǒng)日志右側(cè)操作中都许，點擊“篩選當(dāng)前日志”喇潘，輸入事件ID進(jìn)行篩選。

其中事件ID 6006 ID6005梭稚、 ID 6009就表示不同狀態(tài)的機器的情況（開關(guān)機）颖低。

6005 信息 EventLog 事件日志服務(wù)已啟動。(開機)

6006 信息 EventLog 事件日志服務(wù)已停止弧烤。(關(guān)機)

6009 信息 EventLog 按ctrl忱屑、alt、delete鍵(非正常)關(guān)機

我們輸入事件ID：6005-6006進(jìn)行日志篩選暇昂，發(fā)現(xiàn)了兩條在2018/7/6 17:53:51左右的記錄莺戒，也就是我剛才對系統(tǒng)進(jìn)行重啟的時間。

0x04 日志分析工具

Log Parser

Log Parser（是微軟公司出品的日志分析工具急波，它功能強大从铲，使用簡單，可以分析基于文本的日志文件澄暮、XML 文件名段、CSV（逗號分隔符）文件，以及操作系統(tǒng)的事件日志麻惶、注冊表、文件系統(tǒng)警没、Active Directory恰梢。它可以像使用 SQL 語句一樣查詢分析這些數(shù)據(jù)嵌言，甚至可以把分析結(jié)果以各種圖表的形式展現(xiàn)出來。

Log Parser 2.2下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

基本查詢結(jié)構(gòu)

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:xx.evtx"

使用Log Parser分析日志

1焚虱、查詢登錄成功的事件

登錄成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID ?"SELECT * ?FROM c:Security.evtx where EventID=4624"

指定登錄時間范圍的事件：

LogParser.exe -i:EVT –o:DATAGRID ?"SELECT * ?FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登錄成功的用戶名和IP：

LogParser.exe -i:EVT ?–o:DATAGRID ?"SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"

2、查詢登錄失敗的事件

登錄失敗的所有事件：

LogParser.exe -i:EVT –o:DATAGRID ?"SELECT * ?FROM c:Security.evtx where EventID=4625"

提取登錄失敗用戶名進(jìn)行聚合統(tǒng)計：

LogParser.exe ?-i:EVT "SELECT ?EXTRACT_TOKEN(Message,13,' ') ?as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:Security.evtx where EventID=4625 GROUP BY Message"

3、系統(tǒng)歷史開關(guān)機記錄：

LogParser.exe -i:EVT –o:DATAGRID ?"SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"

LogParser Lizard

對于GUI環(huán)境的Log Parser Lizard，其特點是比較易于使用阅爽，甚至不需要記憶繁瑣的命令誓焦，只需要做好設(shè)置移层，寫好基本的SQL語句观话，就可以直觀的得到結(jié)果。

下載地址：http://www.lizard-labs.com/log_parser_lizard.aspx

依賴包：Microsoft .NET Framework 4 .5，下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=42642

查詢最近用戶登錄情況：

Event Log Explorer

Event Log Explorer是一款非常好用的Windows日志分析工具避咆〔榭猓可用于查看，監(jiān)視和分析跟事件記錄院领，包括安全强法，系統(tǒng)饮怯，應(yīng)用程序和其他微軟Windows 的記錄被記載的事件闰歪，其強大的過濾功能可以快速的過濾出有價值的信息。

下載地址：https://event-log-explorer.en.softonic.com/