Windows事件日志简要解析 |
您所在的位置:网站首页 › 系统日志路径 › Windows事件日志简要解析 |
Windows系统日志
简介:
Windows操作系统在运行过程中会记录大量日志信息。这些日志主要包括Windows 事件日志、IIS日志、FTP日志、Exchange Server邮件服务日志、SQL Server 数据库日志。 Windows 日志文件以特定的数据结构存储,每个记录事件的数据结构包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据。 查看日志可以通过系统自带的事件查看器查看。 Windows系统内置三个核心日志文件:System、Security、Application,默认大小均为20480kB也就是20MB,记录数据超过20MB时会覆盖过期的日志记录;其他的应用程序以及服务日志默认大小均为1MB,超过这个大小一样的处理方法。 日志类型:Windows 事件日志共有5种类型,所有的事件类型必须是这5种的其中一种,而且只能是一种。这5种事件类型分别是: 事件类型 注释 信息(Information) 指应用程序、驱动程序、或服务的成功操作事件 警告(Warning) 警告事件不是直接的、主要的,但是会导致将来问题的发生 错误(Error) 指用户应该知晓的重要问题 成功审核(Success Audit) 主要指安全性日志,记录用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录事件 失败审核(Failure Audit) 失败的审核安全登录尝试事件日志文件类型: 类别 类型 描述 文件名 Windows日志 系统 包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。 System.evtx Windows日志 安全 包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。 Security.evtx Windows日志 应用程序 包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。 Application.evtx 应用程序及服务日志 Microsoft Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。 详见日志存储目录对应文件 应用程序及服务日志 Microsoft Office Alters 微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。 OAerts.evtx 应用程序及服务日志 Windows PowerShell Windows自带的Powershell的日志信息 Windows Powersh.evtx 应用程序及服务日志 Internet Explore IE浏览器应用程序的日志信息,默认未启用 InternetExplotrer.evtx日志文件存放位置:%SystemRoot%\System32\winevt\Logs 常见的事件ID对应表:适用于Win8/Win10/Server2008/Server2012 以及以后版本 事件ID 说明 1102 清理审计日志 4624 账号登录成功 4625 账号登录失败 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启用安全的全局组中 4729 将成员从安全的全局组中移除 4732 将成员添加到启用安全的本地组中 4733 将成员从启用安全的本地组中移除 4756 将成员添加到启用安全的通用组中 4757 将成员从启用安全的通用组中移除 4719 系统审计策略修改其余事件ID可以通过此网站查找:http://www.eventid.net/search.asp 这五类事件中最重要的是成功审核(Success Audit),所有系统登录成功都会被标记为成功审核。每个成功登录事件都会标记一个登录类型。 登录类型 描述 2 交互式登录(用户从控制台登录) 3 网络(通过net、use访问共享网络) 4 批处理 5 服务启动,由服务控制管理器启动 7 解锁(带密码保护的屏幕保护程序的无人值班工作站) 8 网络明文(IIS服务器登录验证) 9 新凭据登录 (呼叫方为出站连接克隆了其当前令牌和指定的新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。) 10 终端服务,远程桌面,远程辅助 11 使用存储在计算机本地的网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据。 Windows 日志格式:事件日志(Evtx) 是一种二进制格式的文件: image-20200424135911618Evtx 文件结构包括三部分:文件头、数据块、结尾空值。 文件头部4096字节。文件头部签名:45 6C 66 46 69 6C 65 00(ElfFile\x00)。 文件头部结构如下: 偏移 长度 值 描述 0 8 ElfFile\x00 文件签名 8 8 第一个数据块 16 8 最后一个数据块 24 8 下一个记录标识符 32 4 128 头大小 36 2 1 次版本号 38 2 3 主版本号 40 2 4096 数据块的偏移量 42 2 数据块的数量 44 76 空值 120 4 文件标志 124 4 校验和 128 3968 空值Windows 事件日志大小是由数据块的数量决定的,事件日志文件大小=(数据块的数量x65536)+4096。文件标志如下: 值 标识符 描述 0x0001 已更新 0x0002 已填充每个数据块的大小是65536字节,数据块首部标签名是45 6C 66 43 68 6E 6B 00(ElfChnk\x00),数据块是由数据块头部,事件记录,闲置空间组成。数据块文件头大小是512字节,结构如下: 偏移量 长度 值 描述 0 8 ElfChnk\x00 标签 8 8 第一个事件记录编号 16 8 最后一个事件编号 24 8 第一个事件记录标识符 32 8 最后一个事件标识符 40 4 128 指针数据偏移量 44 4 最后一个事件记录数据偏移量 48 4 自由空间偏移 52 4 事件记录校验和(CRC32) 56 64 空值 120 4 未知 124 4 校验和(头部前120字节和第128字节到512字节)数据块里有多条事件记录,一条事件记录对应一条日志信息。一条事件记录由以下部分组成: 偏移量 长度 值 描述 0 4 "\x2a\x2a\x00\x00" 签名 4 4 事件块大小 8 8 事件记录标识符 16 8 事件记录写入时间 24 事件内容 4 尺寸拷贝 Windows 取证分析注意要点windows 事件查看器没有提供删除特定日志的功能,也就说溯源取证时,可以直接按照事件ID,按照特定的时间点进行回溯。但是!但是! 通过特殊方法可以使事件查看器不显示特定的日志,前边说到一条事件记录偏移量为4处是事件块大小,也就说我们可以通过修改事件块大小,使其长度覆盖下一条日志,这样事件查看器解析系统日志时,就会跳过下一条日志,这样就使得特定事件被隐藏掉了。同时为了修改后的日志文件能够正常显示,我们还需要修改多个标志位和重新计算校验和。 参考链接: https://www.freebuf.com/vuls/175560.html https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-logon-events https://github.com/libyal/libevtx/blob/master/documentation/Windows%20XML%20Event%20Log%20(EVTX).asciidoc |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |