扫码领资料
获网安教程
windows 开启审核策略 运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件...
文章来源: https://forum.butian.net/index.php/share/355文章作者:ordar123如有侵权请您联系我们,我们会进行删除并致歉
windows
开启审核策略
运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。
我们可以挨个手动修改审核策略的属性,将审核操作选上成功和失败。
当然有简单方法:将下面脚本另存为bat,然后管理员运行就可以打开全部策略了。
echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*
pause
Windows系统日志
Windows系统日志简介
Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。处理应急事件时,客户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。
Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证,了解计算机上上发生的具体行为。
Windows系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows系统日志。运行 eventvwr 可以快速打开事件查看器。使用该工具可以看到系统日志被分为了两大类:Windows日志和应用程序和服务日志。
系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。
windows日志类型
系统日志
系统日志包含 Windows 系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。
默认位置:%SystemRoot%System32WinevtLogsSystem.evtx
应用程序日志
应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。
默认位置:%SystemRoot%System32WinevtLogsApplication.evtx
安全日志
安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则对系统的登录尝试将记录在安全日志中。
默认位置:%SystemRoot%System32WinevtLogsSecurity.evtx
应用程序及服务日志
Microsoft
Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。
默认位置:%SystemRoot%System32WinevtLogs目录下Microsoft-Windows开头的文件名
Microsoft Office Alerts
微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。
默认位置:%SystemRoot%System32WinevtLogsOAerts.evtx
Windows PowerShell
Windows自带的PowerShell应用的日志信息。
默认位置:%SystemRoot%System32WinevtLogsWindows PowerShell.evtx
Internet Explorer
IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。
默认位置:%SystemRoot%System32WinevtLogsInternet Explorer.evtx
windows事件类型/级别
Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:
-
信息(Information):信息事件指应用程序、驱动程序或服务的成功操作的事件。
-
警告(Warning):警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
-
错误(Error):错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
-
成功审核(Success audit):成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。
-
失败审核(Failure audit):失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
Windows事件属性
Windows事件日志属性如下:
重点讲述事件ID值,Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作:
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j
常用的事件id
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:
事件分析工具和命令
Get-WinEvent
powershell管理员执行
列出安全日志 Get-WinEvent -FilterHashtable @{logname="Security";}
列出系统日志 Get-WinEvent -FilterHashtable @{logname="System";}
列出应用程序日志 Get-WinEvent -FilterHashtable @{logname="Application";}
wevtutil
wevtutil 命令参数如下
导出 安全 日志的命令为:
wevtutil epl security d:security.evtx
该命令将安全日志信息导出到d盘下的security.evtx文件
查询 安全 日志的命令为:
wevtutil qe Security /f:text /rd:true > c:1.txt 导出为文本
wevtutil qe Security /f:xml /rd:true > c:1.xml 导出为xml格式
wevtutil qe Application /c:3 /rd:true /f:text 以文本格式显示应用程序日志中三个最近的事件
/f:<Format> 指定输出应为 XML 格式或文本格式。如果 <Format> 为 xml,则输出以 xml 格式显示。如果 <Format> 是文本,则显示不带 XML 标记的输出。默认值为 Text。
/rd:<Direction> 指定读取事件的方向。<Direction> 可以为 true 或 false。如果为 true,则首先返回最新的事件。
/c<Count> 设置要读取的最大事件数。
更多可以参考wevtutil微软官方文档说明:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/wevtutil
logparser(需下载安装)
logparser工具下载地址 https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659
查询 系统日志 事件id为4688的事件 按事件倒序:
LogParser.exe -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|') as UserName,EXTRACT_TOKEN(Strings,5,'|') as ProcessName FROM Security where EventID=4688 ORDER BY TimeGenerated desc"
其中FROM Security 中的Security可以换成System和Application或 导出的日志、备份日志,例c:11.evtx;事件id可以替换成其他id;当然也可以select *来查询所有列。
EXTRACT_TOKEN(Strings,5,'|')表示将String列按'|'隔开取第5个。类似编程语言中的split函数。
查询系统日志,所有列,事件倒序
LogParser.exe -i:EVT "SELECT * FROM System ORDER BY TimeGenerated desc"
-o:csv 将日志另存为csv格式,其他常用格式tsv(文本格式)、xml
LogParser.exe -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|') as UserName,EXTRACT_TOKEN(Strings,5,'|') as ProcessName FROM Security ORDER BY TimeGenerated desc" -o:tsv > c:1.txt
日志清除(管理员权限)
清除日志之后会留下清除日志的审核事件。
手动删除:
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志
meterperter自带清除日志功能:
清除windows中的应用程序日志、系统日志、安全日志 clearev
查看事件日志: run event_manager -i
清理事件日志: run event_manager -c
wevtutil:
wevtutil el 列出系统中所有日志名称
wevtutil cl system 清理系统日志
wevtutil cl application 清理应用程序日志
wevtutil cl security 清理安全日志
Clear-Eventlog(powershell)
Clear-Eventlog -Log Application, System,Security
清除应用程序和服务日志
FOR /F "delims=" %I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%I")
前面所有命令都只是清除了windows日志,没有清除应用程序和服务日志,这个命令可以清除。
清除应用程序和服务日志:
清除recent:
recent是windows下用户打开的文档历史文件记录 。
在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮
或直接打开C:Users用户名Recent并删除所有内容
或在命令行中输入del /f /s /q %userprofile%Recent*.*
清除之前:
清除之后:
参考连接(站在巨人的肩膀上登高望远):
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):Windows日志总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论