Windows系统日志

目录

Windows系统日志

简介

分类

按照审核对象分类

查看系统日志方式

通过C盘路径查找

通过win+r，输入eventvwr.msc进入事件查看器

事件类型

事件ID

日志保存格式

登录类型

事件日志分析

手动日志分析

 使用日志分析工具分析日志（Log Parser）

简介

下载地址：

使用方式

使用Log Parser分析日志

Windows事件分析要点

---

Windows系统日志

简介

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检测错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹

分类

按照审核对象分类

1. 系统日志
   1. 记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
   2. 默认位置：C:\Windows\System32\winevt\Logs\System.evtx
2. 应用程序日志
   1. 包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。
   2. 默认位置：C:\Windows\System32\Winevt\Logs\Application.evtx
3. 安全日志
   1. 记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。
   2. 默认位置：C:\Windows\System32\Winevt\Logs\Security.evtx

查看系统日志方式

通过C盘路径查找

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools

通过win+r，输入eventvwr.msc进入事件查看器

事件类型

系统

1. 包含系统进程，设备磁盘活动等。事件记录了没有驱动无法正常启动或停止，硬件失败，重复IP地址，系统进程的启动，停止及暂停等行为
2. 文件名：System.evtx

安全

1. 包含安全性相关的事件。如：用户权限变更，登录及注销，文件及文件夹访问等信息。
2. 文件名：Security.evtx

应用程序

1. 包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息，应用程序开发人员可以决定记录哪些信息
2. Application.evtx

Microsoft

1. Microsoft文件夹下包含了200多个微软内置的事件日志分类，只有部分类型默认启用记录功能，如远程桌面客户端连接、无线网络、有线网络、记录网络、设备记录等相关日志
2.  文件名：日志存储目录对应文件

事件ID

日志保存格式

1. EVT：Windows 2000、Windows NT、Windows XP系统日志所采用的文件格式，记录系统，应用，安全，Setup等相关信息，一般不可修改
2. EVTX：Windows 7/2008以及之后的Windows系统日志采用的文件格式

登录类型

事件日志分析

手动日志分析

通过事件ID查看系统账号的登录情况

通过win+r，输入eventvwr.msc打开事件管理器

 

Windows日志-筛选当前日志

 输入事件ID 4624-查看登录成功的事件

 事件ID处显示4624

 使用日志分析工具分析日志（Log Parser）

简介

Log Parser（是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来

下载地址：

1. Download Log Parser 2.2 from Official Microsoft Download Center

使用方式

使用win+r，输入cmd，并切换到安装目录

 使用查询命令查询（基本查询结构）

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

使用Log Parser分析日志

查询登录成功的事件

//查询登录成功的事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM E:\wangantools\rizhifenxi\rizhi\20230111.evtx where EventID=4624"

指定登录时间范围的事件：
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM E:\wangantools\rizhifenxi\rizhi\20230111.evtx where TimeGenerated>'2023-01-10 23:32:11' and TimeGenerated<'2023-01-11 23:34:00' and EventID=4624"
 
提取登录成功的用户名和IP：
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM E:\wangantools\rizhifenxi\rizhi\20230111.evtx where EventID=4624"

查询登录失败的事件

登录失败的所有事件：
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM E:\wangantools\rizhifenxi\rizhi\20230111.evtx where EventID=4625"
 
提取登录失败用户名进行聚合统计：
LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM E:\wangantools\rizhifenxi\rizhi\20230111.evtx where EventID=4625 GROUP BY Message"

系统历史开关机记录

LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM E:\wangantools\rizhifenxi\rizhi\20230111.evtx where EventID=6005 or EventID=6006"

Windows事件分析要点

1. Windows操作系统默认没有提供删除特定日志记录的功能，仅提供了删除所有日志的操作功能。

2. 通过对Windows事件日志的取证分析，取证人员可以对操作系统、应用程序、服务、设备等操作行为记录，通过关键的时间点进行回溯

3. 网络安全方面可以通过对日志的分析，通过异常的日志来发现黑客的攻击