应急响应实战：windows日志evtx 文件分析

• 过滤4738用户账户属性修改

Windows 日志事件ID分类大全

 安全事件（Security Log） 

4624 - 用户登录成功（本地或远程）。

4625 - 用户登录失败（密码错误、账户不存在等）。

4634 - 用户注销成功。

4648 - 用户使用显式凭据登录（如 runas 命令）。

4672 - 用户被授予特权（如管理员权限）。

4688 - 新进程创建（需检查进程路径）。

4697 - 服务安装尝试（可能为恶意服务）。

4698 - 计划任务创建（需检查任务内容）。

4700 - 计划任务被修改。

4720 - 用户账户被创建。

4726 - 用户账户被删除。

4732 - 用户被添加到特权组（如本地管理员组）。

4738 - 用户账户属性更改（如密码重置）。

4740 - 用户账户被锁定。

4768 - Kerberos身份验证票证（TGT）请求成功。

4776 - 计算机尝试验证账户凭据（NTLM登录）。

1102 - 安全日志被清除（可能掩盖攻击痕迹）。

 系统事件（System Log）

41 - 系统在未正常关机的情况下重新启动。

6005 - 事件日志服务启动（系统开机）。

6006 - 事件日志服务停止（系统正常关机）。

6008 - 系统异常关机（如断电）。

7001 - 服务启动失败（依赖服务未运行）。

7030 - 服务无法启动或停止（权限或配置问题）。

7034 - 服务意外终止（程序崩溃）。

7040 - 服务启动类型更改（手动/自动/禁用）。

7045 - 新服务被安装（可能为恶意服务）。

10016 - DCOM组件权限错误（应用程序访问权限不足）。

55 - 文件系统或磁盘错误（NTFS卷问题）。

153 - 磁盘I/O操作失败（硬件或驱动问题）。

 应用程序事件（Application Log） 

1000 - 应用程序崩溃（如程序无响应或异常终止）。

1002 - 应用程序挂起（停止响应）。

1026 - .NET运行时错误（未处理的异常）。

1033 - Windows Installer操作失败（安装/卸载错误）。

106 - 计划任务创建或更新。

140 - 计划任务被删除。

200 - 计划任务执行失败。

400 - 服务控制管理器事件（服务启动/停止）。

500 - 应用程序启动错误（如DLL加载失败）。

1500 - Windows Update失败（更新下载或安装错误）。

1517 - 系统休眠失败（驱动或内存问题）。

 其他关键事件 

5156 - Windows防火墙阻止了应用程序的入站连接。

5157 - Windows防火墙阻止了端口绑定。

501 - 组策略应用失败（权限或网络问题）。

502 - 组策略处理完成。

32002 - Hyper-V虚拟机启动失败。

32788 - 虚拟机无法连接到网络。

原文始发于微信公众号（小话安全）：应急响应实战：windows日志evtx 文件分析