在 windows 系统的运行过程中会不断记录日志信息,根据种类可以分为windows日志(事件日志)、应用程序及服务日志,这些日志信息在取证和溯源中非常重要。
审核策略
Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
开始 --> 管理工具 --> 本地安全策略 --> 本地策略 --> 审核策略
事件查看
开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志
可以看到,事件查看器将日志分成了2大类,windows日志、应用程序和服务日志,windows日志中又有应用程序、安全、setup、系统、forwarded event这几种事件类型。
Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件 ID、来源、类别、描述、数据等信息。运维人员可以根据日志取证,了解计算机所发生的具体行为。
在事件日志中有5个事件级别。
-
信息
信息事件指应用程序、驱动程序或服务的成功操作的事件。
-
警告
警告事件指不是直接的、主要的,但是会导致将来发生问题的事件。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
-
错误
错误事件指用户须知道的重要的问题,通常包括功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它将会产生一个错误事件。
-
成功审核
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。
-
失败审核
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。
Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作
- https://docs.microsoft.com/en-us/windows/security/threat-protection/ 直接搜索 event + 相应的事件id 即可
- https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j
| 事件 ID | 说明 |
|---|---|
| 1102 | 清理审计日志 |
| 4624 | 账号成功登录 |
| 4625 | 账号登录失败 |
| 4768 | Kerberos 身份验证(TGT 请求) |
| 4769 | Kerberos 服务票证请求 |
| 4776 | NTLM 身份验证 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从启用安全的本地组中移除 |
| 4756 | 将成员添加到启用安全的通用组中 |
| 4757 | 将成员从启用安全的通用组中移除 |
| 4719 | 系统审计策略修改 |
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:
| 登录类型 | 描述 | 说明 |
|---|---|---|
| 2 | 交互式登录(Interactive) | 用户在本地进行登录。 |
| 3 | 网络(Network) | 最常见的情况就是连接到共享文件夹或共享打印机时。 |
| 4 | 批处理(Batch) | 批处理(为批处理程序保留) |
| 5 | 服务(Service) | 服务启动(服务登录) |
| 7 | 解锁(Unlock) | 屏保解锁。 |
| 8 | 网络明文(NetworkCleartext) | 登录的密码在网络上是通过明文传输的,如FTP、IIS登录验证。 |
| 9 | 新凭证(NewCredentials) | 使用带/Netonly参数的RUNAS命令运行一个程序。 |
| 10 | 远程交互,(RemoteInteractive) | 通过终端服务、远程桌面或远程协助访问计算机。 |
| 11 | 缓存交互(CachedInteractive) | 缓存域证书登录 |
案例:查看系统账号登录情况
- 开始-运行,输入
eventvwr.msc - 在事件查看器中,
Windows日志-->安全,查看安全日志; - 在安全日志右侧操作中,点击
筛选当前日志,输入事件 ID 进行筛选。- 4624 --登录成功
- 4625 --登录失败
- 4634 -- 注销成功
- 4647 -- 用户启动的注销
- 4672 -- 使用超级用户(如管理员)进行登录
- 输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 175904,即用户登录失败了 175904 次,那么这台服务器管理员账号可能遭遇了暴力猜解。
案例:查看计算机开关机的记录
- 开始-运行,输入
eventvwr.msc - 在事件查看器中,
Windows日志-->系统,查看系统日志; - 在系统日志右侧操作中,点击
筛选当前日志,输入事件 ID 进行筛选。其中事件 ID 6006 ID6005、 ID 6009 就表示不同状态的机器的情况(开关机)。- 6005 信息 EventLog 事件日志服务已启动。(开机)
- 6006 信息 EventLog 事件日志服务已停止。(关机)
- 6009 信息 EventLog 按ctrl、alt、delete键(非正常)关机
- 输入事件 ID:6005-6006进行日志筛选,发现了两条在 2018/7/6 17:53:51 左右的记录,也就是我刚才对系统进行重启的时间。
系统内置的三个核心日志文件(System,Security和Application)默认大小均为 20480KB(20MB),记录事件数据超过 20MB 时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为 1024KB,超过最大限制也优先覆盖过期的日志记录。
-
应用程序
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决。
默认位置:
%SystemRoot%\System32\Winevt\Logs\Application.evtx -
系统
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置:
%SystemRoot%\System32\Winevt\Logs\System.evtx -
安全
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:
%SystemRoot%\System32\Winevt\Logs\Application.evtx -
转发事件
日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件,必须创建事件订阅。
默认位置:
%SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx
-
Internet Explorer
IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。
默认位置:
Internet Explorer.evtx -
Microsoft
Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。
默认位置:
详见日志存储目录对应文件 -
Microsoft Office Alerts
微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。
默认位置:
OAerts.evtx -
Windows PowerShell
Windows自带的PowerShell应用的日志信息。
默认位置:
Windows PowerShell.evtx
系统事件日志主要保存的类型为:*.evtx,*.xml,*.txt,*.csv。对于后三种文件格式已经比较了解,现在分析下 evtx 后缀额格式。事件日志(evtx)文件是一种二进制格式的文件。
Source & Reference
- 闲聊Windows系统日志
- Window日志分析