Windows系統(tǒng)日志
簡介:
Windows操作系統(tǒng)在運行過程中會記錄大量日志信息发绢。這些日志主要包括Windows 事件日志急迂、IIS日志、FTP日志灿巧、Exchange Server郵件服務(wù)日志赶袄、SQL Server 數(shù)據(jù)庫日志揽涮。
Windows 日志文件以特定的數(shù)據(jù)結(jié)構(gòu)存儲,每個記錄事件的數(shù)據(jù)結(jié)構(gòu)包含9個元素:日期/時間饿肺、事件類型蒋困、用戶、計算機敬辣、事件ID家破、來源、類別购岗、描述汰聋、數(shù)據(jù)。 查看日志可以通過系統(tǒng)自帶的事件查看器查看喊积。
Windows系統(tǒng)內(nèi)置三個核心日志文件:System烹困、Security、Application乾吻,默認大小均為20480kB也就是20MB髓梅,記錄數(shù)據(jù)超過20MB時會覆蓋過期的日志記錄;其他的應(yīng)用程序以及服務(wù)日志默認大小均為1MB绎签,超過這個大小一樣的處理方法枯饿。
日志類型:
Windows 事件日志共有5種類型,所有的事件類型必須是這5種的其中一種诡必,而且只能是一種奢方。這5種事件類型分別是:
| 事件類型 | 注釋 |
|---|---|
| 信息(Information) | 指應(yīng)用程序、驅(qū)動程序爸舒、或服務(wù)的成功操作事件 |
| 警告(Warning) | 警告事件不是直接的蟋字、主要的,但是會導(dǎo)致將來問題的發(fā)生 |
| 錯誤(Error) | 指用戶應(yīng)該知曉的重要問題 |
| 成功審核(Success Audit) | 主要指安全性日志扭勉,記錄用戶的登錄/注銷鹊奖、對象訪問、特權(quán)使用涂炎、賬戶管理忠聚、策略更改、詳細跟蹤唱捣、目錄服務(wù)訪問两蟀、賬戶登錄事件 |
| 失敗審核(Failure Audit) | 失敗的審核安全登錄嘗試 |
事件日志文件類型:
| 類別 | 類型 | 描述 | 文件名 |
|---|---|---|---|
| Windows日志 | 系統(tǒng) | 包含系統(tǒng)進程,設(shè)備磁盤活動等爷光。事件記錄了設(shè)備驅(qū)動無法正常啟動或停止垫竞,硬件失敗,重復(fù)IP地址,系統(tǒng)進程的啟動欢瞪,停止及暫停等行為活烙。 | System.evtx |
| Windows日志 | 安全 | 包含安全性相關(guān)的事件,如用戶權(quán)限變更遣鼓,登錄及注銷啸盏,文件及文件夾訪問,打印等信息骑祟。 | Security.evtx |
| Windows日志 | 應(yīng)用程序 | 包含操作系統(tǒng)安裝的應(yīng)用程序軟件相關(guān)的事件回懦。事件包括了錯誤、警告及任何應(yīng)用程序需要報告的信息次企,應(yīng)用程序開發(fā)人員可以決定記錄哪些信息怯晕。 | Application.evtx |
| 應(yīng)用程序及服務(wù)日志 | Microsoft | Microsoft文件夾下包含了200多個微軟內(nèi)置的事件日志分類,只有部分類型默認啟用記錄功能缸棵,如遠程桌面客戶端連接舟茶、無線網(wǎng)絡(luò)、有線網(wǎng)路堵第、設(shè)備安裝等相關(guān)日志吧凉。 | 詳見日志存儲目錄對應(yīng)文件 |
| 應(yīng)用程序及服務(wù)日志 | Microsoft Office Alters | 微軟Office應(yīng)用程序(包括Word/Excel/PowerPoint等)的各種警告信息,其中包含用戶對文檔操作過程中出現(xiàn)的各種行為踏志,記錄有文件名阀捅、路徑等信息。 | OAerts.evtx |
| 應(yīng)用程序及服務(wù)日志 | Windows PowerShell | Windows自帶的Powershell的日志信息 | Windows Powersh.evtx |
| 應(yīng)用程序及服務(wù)日志 | Internet Explore | IE瀏覽器應(yīng)用程序的日志信息针余,默認未啟用 | InternetExplotrer.evtx |
日志文件存放位置:%SystemRoot%\System32\winevt\Logs
常見的事件ID對應(yīng)表:
適用于Win8/Win10/Server2008/Server2012 以及以后版本
| 事件ID | 說明 |
|---|---|
| 1102 | 清理審計日志 |
| 4624 | 賬號登錄成功 |
| 4625 | 賬號登錄失敗 |
| 4672 | 授予特殊權(quán)限 |
| 4720 | 創(chuàng)建用戶 |
| 4726 | 刪除用戶 |
| 4728 | 將成員添加到啟用安全的全局組中 |
| 4729 | 將成員從安全的全局組中移除 |
| 4732 | 將成員添加到啟用安全的本地組中 |
| 4733 | 將成員從啟用安全的本地組中移除 |
| 4756 | 將成員添加到啟用安全的通用組中 |
| 4757 | 將成員從啟用安全的通用組中移除 |
| 4719 | 系統(tǒng)審計策略修改 |
其余事件ID可以通過此網(wǎng)站查找:http://www.eventid.net/search.asp
這五類事件中最重要的是成功審核(Success Audit)饲鄙,所有系統(tǒng)登錄成功都會被標記為成功審核。每個成功登錄事件都會標記一個登錄類型涵紊。
| 登錄類型 | 描述 |
|---|---|
| 2 | 交互式登錄(用戶從控制臺登錄) |
| 3 | 網(wǎng)絡(luò)(通過net傍妒、use訪問共享網(wǎng)絡(luò)) |
| 4 | 批處理 |
| 5 | 服務(wù)啟動幔摸,由服務(wù)控制管理器啟動 |
| 7 | 解鎖(帶密碼保護的屏幕保護程序的無人值班工作站) |
| 8 | 網(wǎng)絡(luò)明文(IIS服務(wù)器登錄驗證) |
| 9 | 新憑據(jù)登錄 (呼叫方為出站連接克隆了其當前令牌和指定的新憑據(jù)摸柄。 新登錄會話具有相同的本地標識,但對其他網(wǎng)絡(luò)連接使用不同的憑據(jù)既忆。) |
| 10 | 終端服務(wù)驱负,遠程桌面,遠程輔助 |
| 11 | 使用存儲在計算機本地的網(wǎng)絡(luò)憑據(jù)登錄到此計算機的用戶患雇。 未聯(lián)系域控制器以驗證憑據(jù)跃脊。 |
Windows 日志格式:
事件日志(Evtx) 是一種二進制格式的文件:
Evtx 文件結(jié)構(gòu)包括三部分:文件頭、數(shù)據(jù)塊苛吱、結(jié)尾空值酪术。
文件頭部4096字節(jié)。文件頭部簽名:45 6C 66 46 69 6C 65 00(ElfFile\x00)。
文件頭部結(jié)構(gòu)如下:
| 偏移 | 長度 | 值 | 描述 |
|---|---|---|---|
| 0 | 8 | ElfFile\x00 | 文件簽名 |
| 8 | 8 | 第一個數(shù)據(jù)塊 | |
| 16 | 8 | 最后一個數(shù)據(jù)塊 | |
| 24 | 8 | 下一個記錄標識符 | |
| 32 | 4 | 128 | 頭大小 |
| 36 | 2 | 1 | 次版本號 |
| 38 | 2 | 3 | 主版本號 |
| 40 | 2 | 4096 | 數(shù)據(jù)塊的偏移量 |
| 42 | 2 | 數(shù)據(jù)塊的數(shù)量 | |
| 44 | 76 | 空值 | |
| 120 | 4 | 文件標志 | |
| 124 | 4 | 校驗和 | |
| 128 | 3968 | 空值 |
Windows 事件日志大小是由數(shù)據(jù)塊的數(shù)量決定的绘雁,事件日志文件大小=(數(shù)據(jù)塊的數(shù)量x65536)+4096橡疼。文件標志如下:
| 值 | 標識符 | 描述 |
|---|---|---|
| 0x0001 | 已更新 | |
| 0x0002 | 已填充 |
每個數(shù)據(jù)塊的大小是65536字節(jié),數(shù)據(jù)塊首部標簽名是45 6C 66 43 68 6E 6B 00(ElfChnk\x00)庐舟,數(shù)據(jù)塊是由數(shù)據(jù)塊頭部欣除,事件記錄,閑置空間組成挪略。數(shù)據(jù)塊文件頭大小是512字節(jié)历帚,結(jié)構(gòu)如下:
| 偏移量 | 長度 | 值 | 描述 |
|---|---|---|---|
| 0 | 8 | ElfChnk\x00 | 標簽 |
| 8 | 8 | 第一個事件記錄編號 | |
| 16 | 8 | 最后一個事件編號 | |
| 24 | 8 | 第一個事件記錄標識符 | |
| 32 | 8 | 最后一個事件標識符 | |
| 40 | 4 | 128 | 指針數(shù)據(jù)偏移量 |
| 44 | 4 | 最后一個事件記錄數(shù)據(jù)偏移量 | |
| 48 | 4 | 自由空間偏移 | |
| 52 | 4 | 事件記錄校驗和(CRC32) | |
| 56 | 64 | 空值 | |
| 120 | 4 | 未知 | |
| 124 | 4 | 校驗和(頭部前120字節(jié)和第128字節(jié)到512字節(jié)) |
數(shù)據(jù)塊里有多條事件記錄,一條事件記錄對應(yīng)一條日志信息杠娱。一條事件記錄由以下部分組成:
| 偏移量 | 長度 | 值 | 描述 |
|---|---|---|---|
| 0 | 4 | "\x2a\x2a\x00\x00" | 簽名 |
| 4 | 4 | 事件塊大小 | |
| 8 | 8 | 事件記錄標識符 | |
| 16 | 8 | 事件記錄寫入時間 | |
| 24 | 事件內(nèi)容 | ||
| 4 | 尺寸拷貝 |
Windows 取證分析注意要點
windows 事件查看器沒有提供刪除特定日志的功能挽牢,也就說溯源取證時,可以直接按照事件ID摊求,按照特定的時間點進行回溯卓研。但是!但是睹簇! 通過特殊方法可以使事件查看器不顯示特定的日志奏赘,前邊說到一條事件記錄偏移量為4處是事件塊大小,也就說我們可以通過修改事件塊大小太惠,使其長度覆蓋下一條日志磨淌,這樣事件查看器解析系統(tǒng)日志時,就會跳過下一條日志凿渊,這樣就使得特定事件被隱藏掉了梁只。同時為了修改后的日志文件能夠正常顯示,我們還需要修改多個標志位和重新計算校驗和埃脏。
參考鏈接:
