一、windows作業系統日誌介紹:
1.windows作業系統日誌介紹:
志、windows ftp日誌、exchange server郵件服務、ms sql server資料庫日誌等。
預設大小均為20480kb(20mb),資料超過20mb,預設系統將優先覆蓋過期日誌記錄。
<5>.應用程式、服務日誌預設最大1024kb,超過最大限制也優先覆蓋過期的日誌記錄。
2.windows事件日誌,共有五種事件型別:
注:所有事件必須擁有五種事件型別中的一種,且只可以有一種。
<1>.資訊(information)
指應用程式、驅動程式、服務的成功操作的事件。
<2>.警告(warning)
執行故障和警告資訊。例如,刪除硬碟操作。
<3>.錯誤(error)
通常指功能和資料的丟失。e.g.如果乙個服務不能作為系統引導被載入,即會產生乙個錯誤事件。
<4>.成功審核(success audit)
成功審核的安全訪問嘗試,主要是指安全性日誌,這裡記錄著使用者登入/登出、物件訪問、特權使用、賬戶管理、策略更改、目錄服務訪問、賬戶登入等事件。
注:所有成功登入系統的事件,都被記錄「 成功審核」事件。id號4624。
<5>.失敗審核(failure audit)
失敗審核的安全登入嘗試。
注:使用者試圖通過rdp 3389嘗試的失敗登入,都以失敗審核事件記錄下來。id號4625。
3.幾種型別windows日誌:
<1>.system系統日誌:
系統程序、裝置、磁碟活動等。記錄了裝置驅動無法正常啟動或停止,硬體失敗,重複ip位址,系統程序的啟動,停止及暫停等行為。
<2>.security安全日誌:
包含安全性相關的事件。e.g.使用者許可權變更,登入及登出,檔案/資料夾訪問等資訊。
包含作業系統安裝的應用程式軟體相關的事件。事件包括了錯誤、警告及任何應用程式需要報告的資訊,應用程式開發人員可以決定記錄哪些資訊。
<4>.應用程式及服務日誌:
如遠端桌面客戶端連線、無線網路、有線網路、裝置安裝等相關日誌。
注:可在windows作業系統中開啟cmd指令,輸入"eventvwr.msc"開啟日誌,"windows日誌"檔案裡面找到系統日誌。
4.關於windows作業系統日誌的刪除:
windows作業系統預設沒有提供刪除特定日誌記錄的功能,僅提供刪除所有日誌的操作功能,因此,日誌記錄id(event record id)應該是連續的(預設的排序方式應是從大到小往下排列),當發現日誌為不連續的時候,要警惕是
否日誌被刪除了。
早期版本windows日誌只有應用程式、安全、系統、setup安裝,新版本os增加了設定及**事件日誌(預設禁用),如需要的話可以開啟。
5.匯出windows日誌檔案:
右擊所需要儲存的日誌,選擇"將所有日誌另存為",可選格式如圖:.evtx、.xml、.txt、.csv,
6.windows日誌事件id和登陸型別:
<1>.windows日誌事件id:
4624,成功的登入;
4625,失敗的嘗試;
4672,授予特殊許可權;
4720,新增使用者;
4726,刪除使用者;
4634,成功的登出;
4672,超級使用者登入;
<2>.windows日誌事件的登入型別:
每個成功登入的事件都會標記乙個登入型別,不同登入型別,代表不同的方式。
詳細的安全事件的說明:
二、windows作業系統日誌分析:
1.log parser:
<1>.介紹:
微軟出品日誌分析工具,具備通用日誌分析能力;
可實現分析windows系統日誌、iis、apache、tomcat、nginx等日誌;
功能強大,可分析基於文字的日誌檔案、xml 檔案、csv逗號分隔符檔案,以及作業系統事件日誌、登錄檔、檔案系統、active directory。
可使用sql語句查詢分析日誌資料,甚至可以將分析結果以各種圖表的形式展現。
<3>.log parser的輔助、加強工具,圖形化介面操作--log parser lizard gui。
2.splunk日誌資料分析平台 :
<1>.介紹:
splunk是強大的日誌資料收集、索引、分析和處理、搜尋引擎。
3.logontracer :
<1>.介紹:
windows系統,安全登入日誌分析工具logontracer
log parser分析windows日誌
首先將windows安全日誌匯出,步驟如下 執行eventvwr.msc命令,開啟windows日誌,如下圖,將所有事件另存為 儲存完之後是乙個.evtx格式的檔案,將使用log parser分析這個匯出的日誌 分析命令如下 logparser.exe i evt select timegenera...
系統日誌分析
var log messages,記錄核心訊息 各種服務的公共訊息 var log dmesg,記錄系統啟動過程的各種訊息 var log cron,記錄與cron計畫任務相關的訊息 var log maillog,記錄郵件收發相關的訊息 var log secure,記錄與訪問限制相關的安全訊息 ...
Windows系統日誌審計
實驗背景針對網路中windows伺服器攻擊經常發生的情況,管理員需要在伺服器工作出現異常情況後,進行快速的響應,並且需要及時定位受到入侵的服務,發現黑客入侵的手段,找到系統的脆弱點並且加以修補,windows server 提供的日誌工具可以協助我們完成相關操作。windows系統中日誌分為三種,分...