精品伊人久久大香线蕉,开心久久婷婷综合中文字幕,杏田冲梨,人妻无码aⅴ不卡中文字幕

0x01 Window事件日志簡介

Windows系統日志是記錄系統中硬件、軟件和系統問題的信息，同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。

Windows主要有以下三類日志記錄系統事件：應用程序日志、系統日志和安全日志。

系統日志

應用程序日志

包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況，那么我們可以從程序事件日志中找到相應的記錄，也許會有助于你解決問題。 ?默認位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志

系統和應用程序日志存儲著故障排除信息，對于系統管理員更為有用。 安全日志記錄著事件審計信息，包括用戶驗證（登錄、遠程訪問等）和特定用戶在認證后對系統做了什么，對于調查人員而言，更有幫助。

0X02 審核策略與事件查看器

Windows Server 2008 R2 系統的審核功能在默認狀態下并沒有啟用 ，建議開啟審核策略，若日后系統出現故障、安全事故則可以查看系統的日志文件，排除故障，追查入侵者的信息等。

PS：默認狀態下，也會記錄一些簡單的日志，日志默認大小20M

設置1：開始 → 管理工具 → 本地安全策略 → 本地策略 → 審核策略，參考配置操作：

設置2：設置合理的日志屬性，即日志最大大小、事件覆蓋閥值等：

查看系統日志方法：

1. 在“開始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”
2. 按 'Window+R'，輸入 ”eventvwr.msc“ 也可以直接進入“事件查看器”

0x03 事件日志分析

對于Windows事件日志分析，不同的EVENT ID代表了不同的意義，摘錄一些常見的安全事件的說明：

每個成功登錄的事件都會標記一個登錄類型，不同登錄類型代表不同的方式：

關于更多EVENT ID，詳見微軟官方網站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的說明”。

原文鏈接 ：https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

案例1：可以利用eventlog事件來查看系統賬號登錄情況：

1. 在“開始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”；
2. 在事件查看器中，單擊“安全”，查看安全日志；
3. 在安全日志右側操作中，點擊“篩選當前日志”，輸入事件ID進行篩選。
4. 4624 --登錄成功
5. 4625 --登錄失敗
6. 4634 -- 注銷成功
7. 4647 -- 用戶啟動的注銷
8. 4672 -- 使用超級用戶（如管理員）進行登錄

我們輸入事件ID：4625進行日志篩選，發現事件ID：4625，事件數175904，即用戶登錄失敗了175904次，那么這臺服務器管理員賬號可能遭遇了暴力猜解。

案例2：可以利用eventlog事件來查看計算機開關機的記錄：

1、在“開始”菜單上，依次指向“所有程序”、“管理工具”，然后單擊“事件查看器”；

2、在事件查看器中，單擊“系統”，查看系統日志；

3、在系統日志右側操作中，點擊“篩選當前日志”，輸入事件ID進行篩選。

其中事件ID 6006 ID6005、 ID 6009就表示不同狀態的機器的情況（開關機）。

6005 信息 EventLog 事件日志服務已啟動。(開機)

6006 信息 EventLog 事件日志服務已停止。(關機)

6009 信息 EventLog 按ctrl、alt、delete鍵(非正常)關機

我們輸入事件ID：6005-6006進行日志篩選，發現了兩條在2018/7/6 17:53:51左右的記錄，也就是我剛才對系統進行重啟的時間。

0x04 日志分析工具

Log Parser

Log Parser（是微軟公司出品的日志分析工具，它功能強大，使用簡單，可以分析基于文本的日志文件、XML 文件、CSV（逗號分隔符）文件，以及操作系統的事件日志、注冊表、文件系統、Active Directory。它可以像使用 SQL 語句一樣查詢分析這些數據，甚至可以把分析結果以各種圖表的形式展現出來。

Log Parser 2.2下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

基本查詢結構

Logparser.exe –i:EVT –o:DATAGRID 'SELECT * FROM c:\xx.evtx'

使用Log Parser分析日志

1、查詢登錄成功的事件

2、查詢登錄失敗的事件

登錄失敗的所有事件：LogParser.exe -i:EVT –o:DATAGRID 'SELECT * FROM c:\Security.evtx where EventID=4625'?提取登錄失敗用戶名進行聚合統計：LogParser.exe -i:EVT 'SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message' ?

3、系統歷史開關機記錄：

LogParser Lizard

對于GUI環境的Log Parser Lizard，其特點是比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設置，寫好基本的SQL語句，就可以直觀的得到結果。

下載地址：http://www.lizard-labs.com/log_parser_lizard.aspx

依賴包：Microsoft .NET Framework 4 .5，下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=42642

查詢最近用戶登錄情況：

Event Log Explorer

Event Log Explorer是一款非常好用的Windows日志分析工具?？捎糜诓榭?，監視和分析跟事件記錄，包括安全，系統，應用程序和其他微軟Windows 的記錄被記載的事件，其強大的過濾功能可以快速的過濾出有價值的信息。

下載地址：https://event-log-explorer.en.softonic.com/