LogParse Windows系統日誌分析

本文將對常見的日誌型別，利用微軟日誌分析工具（logparser）結合已經掌握的惡意**分析windows系統日誌，關聯出系統的異常。

資料**於windows的事件檢視器中的*.evtx檔案，eventvwr.msc。

除此之外還要關注木馬病毒的資訊

安全日誌登入部分的事件 id 和登入型別**都具有一定含義：

event id(2000/xp/2003)

event id(vista/7/8/2008/2012)

描述528

4624

成功登入

5294625

失敗登入

6804776

成功/失敗的賬戶認證

6244720

建立使用者

6364732

新增使用者到啟用安全性的本地組中

6324728

新增使用者到啟用安全性的全域性組中

2934

7030

服務建立錯誤

2944

7040

ipsec服務服務的啟動型別已從禁用更改為自動啟動

2949

7045

服務建立

登入型別

登入型別描述2

interactive

使用者登入到本機

3network

使用者或計算手機從網路登入到本機，如果網路共享，或使用 net use 訪問網路共享，net view 檢視網路共享

4batch

批處理登入型別，無需使用者干預

5service

服務控制管理器登入

7unlock

使用者解鎖主機

8networkcleartext

使用者從網路登入到此計算機，使用者密碼用非雜湊的形式傳遞

9newcredentials

程序或執行緒轉殖了其當前令牌，但為出站連線指定了新憑據

10remotelnteractive

使用終端服務或遠端桌面連線登入

11cachedlnteractive

使用者使用本地儲存在計算機上的憑據登入到計算機（域控制器可能無法驗證憑據），如主機不能連線域控，以前使用域賬戶登入過這台主機，再登入就會產生這樣日誌

12cachedremotelnteractive

與 remotelnteractive 相同，內部用於審計目的

13cachedunlock

登入嘗試解鎖

1、得到已經發現webshell、遠控木馬的建立時間

2、搜尋登錄檔資訊，通過登錄檔資訊獲取登錄檔鍵值建立時間再找出同一時間建立的檔案。

3、整合檔案建立的時間、登錄檔鍵值建立時間找出的新檔案時間整合分析系統日誌，把整個行為關聯起來。

-i:evt是指定分析的日誌，也可以分析csv 、iisw3c 等日誌格式。

# 網格顯示

logparser.exe –i:evt –o:datagrid 「select * from security.evtx」
# csv顯示
logparser.exe –i:evt –o:datagrid 「select * from security.evtx」

只需要取出關鍵列進行判斷或者比對，就可以從龐大的windows安全日誌中提取出安全事件發生後想要關聯的資訊。

extract_token(列名,字段數,『分隔符』)

extract_token(strings, 8, '|')

欄位名 as 別名

logparser.exe -i:evt -o:datagrid "select timegenerated as logintime from security.evtx where eventid=4624"

使用timestamp('年-月-日', 'yyyy-mm-dd')函式

logparser.exe -i:evt -o:datagrid "select * from security.evtx where to_date(timegenerated) between timestamp('2018-10-17', 'yyyy-mm-dd') and timestamp('2018-10-27', 'yyyy-mm-dd')" -rtp:-1

logparser.exe -i:evt -o:datagrid "select * from security.evtx where to_time(timegenerated) between timestamp('13:33:00', 'hh:mm:ss') and timestamp('13:35:00', 'hh:mm:ss')" -rtp:-1

logparser.exe -i:evt -o:datagrid "select timegenerated as logintime,extract_token(strings,5,'|') as username,extract_token(strings, 8, '|') as logontype,extract_token(strings, 17, '|') as processname,extract_token(strings, 18, '|') as sourceip from security.evtx where eventid=4624「

關注點：

1、管理員登入時間段是不是正常時間

2、木馬執行的時間和管理員登入時間對不對應

logparser.exe -i:evt -o:datagrid "select timegenerated as logintime,extract_token(strings,5,'|') as username,extract_token(strings, 8, '|') as logontype,extract_token(strings, 17, '|') as processname,extract_token(strings, 18, '|') as sourceip from security.evtx where eventid=4624 and to_date(timegenerated) between timestamp('2018-10-17', 'yyyy-mm-dd') and timestamp('2018-10-27', 'yyyy-mm-dd')" -rtp:-1

1、時間段

2、服務名、服務路徑

logparser.exe -i:evt -o:datagrid "select timewritten,eventid,eventtype,eventtypename,sourcename,extract_token(strings,0,'|') as service_name,extract_token(strings,1,'|') as service_path,message from system.evtx where to_date(timegenerated) between timestamp('2018-10-19', 'yyyy-mm-dd') and timestamp('2018-10-20', 'yyyy-mm-dd')" -rtp:-1"

1、程式執行時間

用logparser分析windows日誌

windows 系統安全事件應急響應

logparser: filter records for specific time frame/date

日誌 syslog系統日誌

原創 2017年02月17日 20 47 05 前言 本文列出了在linux系統下的幾個日誌檔案。以及結合message中的日誌記錄，作出了簡單分析。syslog是linux系統預設的日誌守護程序。預設的syslog配置檔案是 etc sysctl.conf檔案 通常，syslog 接受來自系統的各...

python logging yaml日誌分割

1 建立log.yaml檔案 version 1 disable existing loggers false formatters format asctime s filename s levelname s message s datefmt f t handlers console clas...

Poco 日誌 之 系統日誌

poco 支援windows 事件日誌.僅支援win poco autoptrlog new poco eventlogchannel log open poco message msg msg.setsource 1111 msg.settext 333 msg.setpriority poco ...