Windows日志分析

## 一、Windows事件日志简介
  Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。
  Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。
### 1.1 位置
```
Windows 2000/Server2003/windows XP：
C:\WINDOWS\system32\config\
SystemEvent.Evt  系统日志
AppEvent.Evt     应用程序日志
SecurityEvent.Evt安全日志
SetupEvent.Evt   设置日志
```
```
windows server 2008及以上
C:\Windows\System32\winevt\Logs
Security.evtx   安全日志
Setup.evtx  设置日志
System.evtx 系统日志
Application.evtx应用程序日志
```
### 1.2 审核策略
**设置1**：开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略
**设置2**：设置合理的日志属性，即日志最大大小、事件覆盖阀值等

## 二、事件日志分析
对于Windows事件日志分析，不同的EVENT ID代表了不同的意义，摘录一些常见的安全事件的说明：
| 事件ID | 说明                             |
| :----- | -------------------------------- |
| 4624   | 登录成功                         |
| 4625   | 登录失败                         |
| 4720   | 已创建用户账户                   |
| 4722   | 已启用用户账户                   |
| 4732   | 一个成员被添加到启用安全的本地组 |
| 4733   | 一个成员被删除到启用安全的本地组 |
| 4726   | 用户账户被删除                   |
| 1102   | 安全日志被清除                   |
| 4719   | 更改审核策略                     |
|4656  |程序对主机文件进行访问(勒索病毒对文件加密)<br>表示请求了对象的句柄。这也可能与文件访问相关，尤其是当异常程序尝试打开或创建文件时。|
每个成功登录的事件都会标记一个登录类型，不同登录类型代表不同的方式：

| 登录类型 | 描述                            | 说明                                             |
| :------- | ------------------------------- | ------------------------------------------------ |
| 2        | 交互式登录（Interactive）    ***   | 用户在本地进行登录。                             |
| 3        | 网络（Network）                 | 最常见的情况就是连接到共享文件夹或共享打印机时。 |
| 4        | 批处理（Batch）                 | 通常表明某计划任务启动。                         |
| 5        | 服务（Service）                 | 每种服务都被配置在某个特定的用户账号下运行。     |
| 7        | 解锁（Unlock）                  | 屏保解锁。                                       |
| 8        | 网络明文（NetworkCleartext）    | 登录的密码在网络上是通过明文传输的，如FTP。      |
| 9        | 新凭证（NewCredentials）        | 使用带/Netonly参数的RUNAS命令运行一个程序。      |
| 10       | 远程交互，（RemoteInteractive）***  | 通过终端服务、远程桌面或远程协助访问计算机。     |
| 11       | 缓存交互（CachedInteractive）   | 以一个域用户登录而又没有域控制器可用             |

| 子状态码   | 地位和子状态码 描述(不针对失败的原因:“检查)             |
| ---------- | ------------------------------------------------------- |
| 0xc0000064 | 用户名不存在                                            |
| 0xc000006a | 用户名是正确的,但密码是错误的                           |
| 0xc0000234 | 用户当前锁定                                            |
| 0xc0000072 | 帐户目前禁用                                            |
| 0xc000006f | 用户试图登录天的外周或时间限制                          |
| 0xc0000070 | 工作站的限制                                            |
| 0xc0000193 | 帐号过期                                                |
| 0xc0000071 | 过期的密码                                              |
| 0xc0000133 | 时钟之间的直流和其他电脑太不同步                        |
| 0xc0000224 | 在下次登录用户需要更改密码                              |
| 0xc0000225 | 显然一个缺陷在Windows和不是一个风险                     |
| 0xc000015b | 没有被授予该用户请求登录类型(又名登录 正确的)在这台机器 |
| 0xc000006d | 似乎是由于系统问题和不安全                              |
### 2.1 RDP日志分析
RDP登录日志除了安全日志之外还有其他多种方法
部分情况下安全日志被攻击者清空，查看RDP登录成功事件可以访问以下路径。记录了哪些源IP利用RDP方式成功登陆到了本机。
```
应用程序和服务日志\Microsoft\Windows\TerminalServices-RemoteConnectionManager\Operational 
记录与远程桌面服务（RDS）相关的事件
261	 RDP-Tcp收到一个连接  出现大量261且间隔时间短 RDP爆破
1149 远程桌面服务: 用户身份验证已成功，记录登录用户，源ip	
1150 则记录了远程桌面连接的断开信息，包括断开时间、用户名等
```
```
应用程序和服务日志\Microsoft\Windows\TerminalServices-LocalServicesManager\Operational
记录了与远程桌面服务的本地会话管理相关的多种事件
21 远程桌面服务会话的登录成功事件。当用户通过远程桌面成功登录到服务器时记录。   查看源网络地址非本地的
24 远程桌面服务会话被远程断开事件。当远程桌面会话因为用户或管理员的操作被远程断开时记录。
25 远程桌面服务会话被重新连接事件。当一个先前的远程桌面会话被重新连接时记录。   查看源网络地址非本地的
```
## 三、日志分析工具
### 3.1 Log Parser
Log Parser（是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。
Log Parser 2.2下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

基本查询结构：
`Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx`

使用Log Parser
分析日志
```
1、查询登录成功的事件
登录成功的所有事件 
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4624"

指定登录时间范围的事件： 
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登录成功的用户名和IP： 
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624
```
### 3.2 windows-logs-analysis
> 该工具必须和 Log Parser 共同使用

项目地址：https://github.com/dogadmin/windodws-logs-analysis
将windowslog.exe放到Log Parser的安装路径 （Log Parser的默认安装路径为 C:\Program Files(x86)\Log Parser 2.2）

双击打开 windowslog.exe
选择分析项进行日志分析

### 3.3 提取日志生成表格
> 该工具必须和 Log Parser 共同使用，并配置环境变量
```
准备工具：
LogParser
evtx    提取日志工具
logon   分析日志工具
```
```
使用：
1.提取安全日志
以管理员身份运行evtx.exe文件，结果保存在桌面
或
查看事件查看器
Win+x - 事件查看器
点开windows日志，安全日志，之后右边另存为

2.分析安全日志
将提取出来的安全日志，放到logon下的data里面（之前的日志需要全部删除）
运行\bin\run.bat
分析\data下的表格
```
### 3.4 LogonTracer
项目地址：
https://github.com/JPCERTCC/LogonTracer

导航

最近文章

友情链接