- 1MAC 如何配置 PCL 库并在 VS Code 中使用_mac安装pcl
- 21202 子序列个数(dp,mod简单总结)_求子序列的个数
- 3java mysql 导入hbase,利用Sqoop将MySQL海量测试数据导入HDFS和HBase
- 4NLP(四十七)常见的损失函数_语言模型的损失函数
- 5LLM 推理优化_vllm 重复回答 "stop_token_ids": [7]
- 6linux 账户锁与解锁_linux系统root账户被锁定多久可以解锁
- 7C/C++ stat()函数:获取文件状态
- 8Nginx (六) ---------- 静态代理_nginx代理静态文件
- 9某盾轨迹-贝塞尔生成方式_某盾点选轨迹
- 10解决Github copilot访问速度慢、资源加载问题_copilot 慢
Windows日志_windows系统中event log中什么是event date和data value
赞
踩
本文在转载文章基础上作少量补充,原文链接:https://blog.csdn.net/Z_Grant/article/details/90673282
学习目标
- Windows事件日志简介:存储位置、内容、查看方法
- Windows事件日志分析:开关机、登录、注销、连接网络、插U盘
- 安全审核:TCP、UDP
一、Windows事件日志简介
Windows事件日志记录着Windows系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,掌握计算机在特定时间的状态,此外也可以了解用户的各种操作行为。它可以为信息安全调查取证提供很多关键信息。
二、打开事件查看器命令:eventvwr
Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录
记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件ID、来源、任务类别、描述、数据等信息
三、Windows事件日志共有五种事件级别
所有的事件必须只能拥有其中的一种事件级别
1.信息(Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件。
2.警告(Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
3.错误(Error)
错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
4.成功审核(Success audit)
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件。
5.失败审核(Failure audit)
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
四、Windows日志文件
从1993年的Windows NT3.1起,微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/Win2000/XP/Server 2003中, 日志文件的扩展名一直是evt,存储位置为:%systemroot%\System32\config
从Windows Vista和Server 2008开始,日志文件的文件名、结构和存储位置发生了巨大改变, 文件扩展名改为evtx (XML格式),存储位置改为: %systemroot%\System32\WinEvt\logs
日志文件通常分为系统日志、应用程序日志、安全日志三种:
1.系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。
默认位置:
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:WINDOWS\system32\winevt\Logs\System.evtx
2.应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。
默认位置:
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Application.evtx
3.安全日志
记录系统的安全审计事件,从Windows2000版本后共包括9种审计策略,即:帐户登录、登录、对象访问、目录服务访问、进程追踪、特权使用、帐户管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。
默认位置:
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Security.evtx。
9中审计策略基本解释为:
- 帐户登录:记录对登录用户的认证事件
- 登录:记录用户登录到哪台PC的事件
- 对象访问:记录用户对Windows对象的访问事件,这里对象包括注册表、服务、打印机、文件/文件夹等
- 目录服务访问:记录对AD中所有对象的访问事件
- 进程追踪:记录主机执行的程序事件,不管是由用户自己执行还是系统自动执行的
- 特权使用:记录用户使用分配的特权的事件,这里特权指在本地安全策略中分配给用户的权限
- 帐户管理:记录包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件
- 策略变更:记录本地安全策略或DC上信任关系变化的事件
- 系统事件:记录一些安全事件的杂项,如系统的启动和关闭、系统事件修改
注:
①安全日志 存储着事件审计信息,包括用户验证(登录、远程访问等)和行为,是渗透测试工作人员关注的重点,在调查取证中,安全日志中找到线索的可能性最大;
②账户登录和登录的区别 当DC对域账户进行身份验证时产生账户登录事件,当本地计算机对本地用户进行身份验证时产生登录事件;
③系统和应用程序日志 存储着系统软硬件状态变化信息,通常可用于故障排除,对于系统管理员更有价值。
五、对常用安全事件的分析
1.用户登录与注销
■场景
.判断哪个用户尝试进行登录
.分析被控制的用户的使用情况
■事件ID
.4624登录成功
.4625登录失败
.4634/4647 一注销成功
.4672使用超级用户(如管理员)进行登录
2.追踪硬件变动
■场景
.分析哪些硬件设备什么时间安装到系统中
■事件ID
.20001 -即插即用驱动安装(System日志)
.20003 -即插即用驱动安装(System日志)
.4663 -移动设备访问成功(Securiy日志)
.4656 -移动设备访问失败(Security日志)
3.追踪WiFi信息
■场景
.分析连接到的WiFi属性
■事件ID
.10000-连接WiFi(networkprofile日志)
.10001-断开WiFi(networkprofile日志)
六、分析日志的思路
1.分析Windows登录类型
(1) 登录类型
登录类型2:交互式登录(Interactive): 就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。
登录类型3:网络(Network): 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。
登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。
登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。
登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。
登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。
登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。
(2) 常见登录类型日志分析
① 本地交互式登录,也就是我们每天最常使用的登录方式
首先是成功的登录,从日志分析来看至少会有2个事件发生,分别为ID4648、 4624。
审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登录
审核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登录
失败登录会产生ID为4625的事件日志。
审核失败 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登录
② 使用RDP协议进行远程登录,这也是日常经常遇到的情况
使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4648、4624、4672的事件产生。
首先是成功登录, ID为4624,审核成功,登录类型为10(远程交互)。并且描述信息中的主机名(源工作站)仍为被尝试登录主机的主机名,而不是源主机名。
审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登录
审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登录
审核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登录
使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为10(远程交互)。
审核失败,列出了登录失败的账户名和失败原因。
③ 远程访问某台主机的共享资源,如某个共享文件夹
首先是使用正确的用户名和密码访问远程共享主机,登录事件ID为4624, 登录类型为3(Network),审核成功。列出了源网络地址和端口。
审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登录
如果访问共享资源使用的帐户名、密码正确,但是该用户对指定的共享文件夹没有访问权限时仍然会有ID为4624的认证成功事件产生。
接下来的是事件ID为5140的文件共享日志,显示了访问的共享文件夹名称。
审核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享
使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为3(网络)。审核失败,列出了登录失败的账户名和失败原因。
④ 解锁登录
解锁登录和远程登录一样,成功的情况下会有ID为4648、4624、4672的事件产生。
首先是成功登录, ID为4624,审核成功,登录类型为7(Unlock)。
审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登录
审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登录
审核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登录
使用不存在的用户名和错误密码分别登录失败,ID为4625,登录类型为7(unlock)。
审核失败,列出了登录失败的账户名和失败原因。
最后我们总结一下“审计登录”事件:
- 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成4648事件。
- 成功的登录通常会有4624事件产生,在创建登录会话后在被访问的计算机上生成此事件。
- 如果用户有特权会有4672事件产生。
- 通常情况下只需关注登录类型为2、3、7、10类型的4625登录失败事件。
2.安全审核
操作系统带有日志功能,系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件。企业的网络管理员开启了服务器的部分安全审计功能后,可以根据需要实时地将发生在系统中的事件记录下来。可以通过查看安全日志的内容,分析、查找系统和应用程序故障以及各类安全事件,发现黑客的入侵和入侵后的行为。
审核事件ID
4608 - Windows正在启动
4609 - Windows正在关机
4616 - 系统时间被改变
4618 - 监测安全事件样式已经发生
4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录
4624 - 帐户已成功登录
4625 - 帐户登录失败
4634 - 帐户被注销
4647 - 用户发起注销
4648 - 试图使用明确的凭证登录
4649 - 发现重放攻击
4657 - 注册表值被修改
4660 - 对象已删除
4663 - 试图访问一个对象
4664 - 试图创建一个硬链接
4670 - 对象的权限已更改
4672 - 给新登录分配特权
4673 - 要求特权服务
4674 - 试图对特权对象尝试操作
4675 - SID被过滤
4697 - 系统中安装服务器
4698 - 计划任务已创建
4699 - 计划任务已删除
4700 - 计划任务已启用
4701 - 计划任务已停用
4702 - 计划任务已更新
4704 - 用户权限已分配
4705 - 用户权限已移除
4706 - 创建到域的新信任
4707 - 到域的信任已经删除
4713 - Kerberos政策已更改
4714 - 加密数据复原政策已取消
4715 - 对象上的审计政策(SACL)已经更改
4716 - 信任域信息已经修改
4717 - 系统安全访问授予帐户
4718 - 系统安全访问从帐户移除
4719 - 系统审计政策已经更改
4720 - 创建用户
4726 - 删除用户
4768 - 域用户成功登录验证
4778 - 会话被重新连接到Window Station
4779 - 会话断开连接到Window Station
4800 - 工作站被锁定
4801 - 工作站被解锁
4802 - 屏幕保护程序启用
4803 - 屏幕保护程序被禁用
4864 - 名字空间碰撞被删除
4865 - 信任森林信息条目已添加
4866 - 信任森林信息条目已删除
4867 - 信任森林信息条目已取消
4902 - Per-user审核政策表已经创建
4906 - CrashOnAuditFail值已经变化
4907 - 对象的审计设置已经更改
4932 - 命名上下文的AD的副本同步已经开始
4933 - 命名上下文的AD的副本同步已经结束
4934 - Active Directory 对象的属性被复制
4935 - 复制失败开始
4936 - 复制失败结束
4944 - 当开启Windows Firewall时下列政策启用
4945 - 当开启Windows Firewall时列入一个规则
4946 - 对Windows防火墙例外列表进行了修改,添加规则
4947 - 对Windows防火墙例外列表进行了修改,规则已修改
4948 - 对Windows防火墙例外列表进行了修改,规则已删除
4949 - Windows防火墙设置已恢复到默认值
4950 - Windows防火墙设置已更改
4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视
4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分
4953 - 因为Windows防火墙不能解析规则,规则被忽略
4954 - Windows防火墙组政策设置已经更改,将使用新设置
4956 - Windows防火墙已经更改主动资料
4957 - Windows防火墙不适用于以下规则
4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:
4985 - 交易状态已经改变
5024 - Windows防火墙服务已成功启动
5025 - Windows防火墙服务已经被停止
5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策
5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策
5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策
5030 - Windows防火墙服务无法启动
5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接
5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
5033 - Windows防火墙驱动程序已成功启动
5034 - Windows防火墙驱动程序已经停止
5035 - Windows防火墙驱动程序未能启动
5037 - Windows防火墙驱动程序检测到关键运行错误,终止。
5039 - 注册表项被虚拟化
5051 - 文件已被虚拟化
5136 - 目录服务对象已修改
5137 - 目录服务对象已创建
5138 - 目录服务对象已删除
5139 - 目录服务对象已经移动
5140 - 网络共享对象被访问
5141 - 目录服务对象已删除
5378 - 所要求的凭证代表是政策所不允许的
5632 - 要求对无线网络进行验证
5633 - 要求对有线网络进行验证
6144 - 组策略对象中的安全政策已经成功运用
6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误
(2020.08补充)
Windows日志内容冗杂繁多,善于利用筛选器可以让审核工作更加高效,eventvwr中筛选器有两种筛选模式,可以通过相应选项进行筛选,也可以通过编辑XML进行筛选,然后可以通过查找选项进一步筛选出事件信息。
下面例举常用到的安全日志XML筛选规则,如下所示:
1.查看本地主机用户成功登录日志
<!-- 查看Console登录日志 -->
<!-- 时间范围24H,单位ms -->
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4624)
and
TimeCreated[timediff(@SystemTime) <= 86400000]]
and
EventData[Data[@Name='TargetUserName']='John']
and
EventData[Data[@Name='LogonType']='2']]
</Select>
</Query>
</QueryList>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
用户在主机Console (Type 2) 或远程桌面 (Type 10) 等其他方式成功登录后获取Token凭证,不管是登录本地主机还是登录域内主机,都分为以下三类:
- Administrator 或 Domain\Administrator:获得一个完整权限的Token,对应一个4624事件记录
- 本地管理员组其他用户 或 域管理员组其他用户:获得两个拆分Token,一个是标准用户Token,一个是提升权限Token,对应两个4624事件记录
- 本地非管理员组用户 或 域非管理员组用户:获得标准用户Token,对应一个4624事件记录
2.在域控上查看域用户成功登录日志
注意所有域用户登录都只对应一个4768事件记录,且4768事件记录只能在域控上查看。
<!-- 时间范围24H,单位ms -->
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4768)
and
TimeCreated[timediff(@SystemTime) <= 86400000]]
and
EventData[Data[@Name='TargetUserName']='John']]
</Select>
</Query>
</QueryList>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
3.查看本地主机用户失败登录日志
查看用户失败的登录信息,可据此筛查RDP暴破痕迹。
<!-- 查看远程桌面登录日志 -->
<!-- 时间范围24H,单位ms -->
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4625)
and
TimeCreated[timediff(@SystemTime) <= 86400000]]
and
EventData[Data[@Name='TargetUserName']='John']
and
EventData[Data[@Name='LogonType']='10']]
</Select>
</Query>
</QueryList>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
4.查看用户使用密码成功登录的日志
使用显式密码成功登录都会记录此类型事件,且所有类型用户每成功登录一次都只对应一个4648事件记录。
<!-- 查看远程桌面登录日志 -->
<!-- 时间范围24H,单位ms -->
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4648)
and
TimeCreated[timediff(@SystemTime) <= 86400000]]
and
EventData[Data[@Name='TargetUserName']='John']]
</Select>
</Query>
</QueryList>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
