windows日志
日志位置
windows 2000专业版/windows Server2003/windows XP
系统日志 C:\Windows\System32\config\SysEvent.evt
安全性日志 C:\Windows\System32\config\SecEvent.evt
应用程序日志 C:\Windows\System32\config\AppEvent.evt
Vista/win7/win8/win10/winser2008以上
系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志 %SystemRoot%\System32\Winevt\Logs\Application.evtx
事件查看器 win+r --> eventvwr
日志分类
1.系统日志
主要记录驱动程序,操作系统的多种组件,应用软件在运行中出现的重大问题,包括重要数据的丢失、错误,以及系统产生的崩溃行为等。
2.安全性日志
主要记录各种与安全相关的事件,包括登录与退出系统的成功与不成功信息,对系统中重要资源的各种操作,对系统文件创建、删除、更改等操作。
3.应用程序日志
记录各种应用程序产生的各类事件
注意 windows 2000专业版/windows Server2003/windows XP中只有应用程序、安全性、系统三类日志。PowerShell日志
日志常用事件ID
应急响应中常用
| 事件ID(旧版本) | 事件ID(新版本) | 描述 | 事件日志 |
|---|---|---|---|
| 528 | 4624 | 成功登录 | 安全 |
| 529 | 4625 | 失败登录 | 安全 |
| 680 | 4776 | 成功/失败的账户认证 | 安全 |
| 624 | 4720 | 创建用户 | 安全 |
| 636 | 4732 | 添加用户到启用安全性的本地组中 | 安全 |
| 632 | 4728 | 添加用户到启用安全性的全局组中 | 安全 |
| 2934 | 7030 | 服务创建错误 | 系统 |
| 2944 | 7040 | IPSEC服务的启动类型已从禁用更改为自动启动 | 系统 |
| 2949 | 7045 | 服务创建 | 系统 |
登录相关日志事件ID
| 事件ID | 名称 | 描述 |
|---|---|---|
| 4624 | 用户登录成功 | 在目标计算机上创建登录会话时 (此事件) 。 它会在已访问的计算机上生成,其中创建了会话。 |
| 4625 | 用户登录失败 | 如果在帐户已被锁定时尝试登录账户失败,则生成此事件。 |
| 4672 | 特殊权限用户登录 | 特殊权限登录,如登录Administrator,一般会看到4624和4672一起出现 |
| 4648 | 显式凭证登录 | 当进程通过显式指定帐户的凭据尝试登录帐户时。这最常发生在批处理类型配置(如计划任务)中,或者使用”RUNAS/USER”命令时(不过在使用runas时,也会产生4624) |
登录类型
| ID | 登录类型(LogonType) | 描述 |
|---|---|---|
| 2 | Interactive | 用户登录到本机 |
| 3 | Network | 用户或计算手机从网络登录到本机,如果网络共享,或使用 net use 访问网络共享,net view 查看网络共享 |
| 4 | Batch | 批处理登录类型,无需用户干预 |
| 5 | Service | 服务控制管理器登录 |
| 7 | Unlock | 用户解锁主机 |
| 8 | NetworkCleartext | 用户从网络登录到此计算机,用户密码用非哈希的形式传递 |
| 9 | NewCredentials | 进程或线程克隆了其当前令牌,但为出站连接指定了新凭据 |
| 10 | Remotelnteractive | 使用终端服务或远程桌面连接登录 |
| 11 | Cachedlnteractive | 用户使用本地存储在计算机上的凭据登录到计算机(域控制器可能无法验证凭据),如主机不能连接域控,以前使用域账户登录过这台主机,再登录就会产生这样日志 |
| 12 | CachedRemotelnteractive | 与Remotelnteractive 相同,内部用于审计目的 |
| 13 | CachedUnlock | 登录尝试解锁 |
启用事件相关
| 事件 | 事件ID | 事件级别 | 事件日志 | 事件来源 |
|---|---|---|---|---|
| 关机初始化失败 | 1074 | 警告 | User32 | User32 |
| Windows关闭 | 13 | 信息 | 系统 | Kernel-General |
| Windows启动 | 12 | 信息 | 系统 | Kernel-General |
日志清除相关
| 事件 | 事件ID | 事件级别 | 事件日志 | 事件来源 |
|---|---|---|---|---|
| 事件日志服务关闭 | 1100 | 信息 | 安全 | EventLog |
| 事件日志被清除 | 104 | 信息 | 系统 | EventLog |
| 事件日志被清除 | 1102 | 信息 | 安全 | EventLog |
日志分析
内置筛选器
筛选内容:记录时间、事件级别、任务类别、关键字等
PowerShell进行日志分析
Get-EventLog和Get-WinEvent区别
Get-EventLog只获取传统的事件日志,Get-WinEvent是从传统的事件日志和新Windows事件日志技术生成的事件日志中获取事件,但同时需要Vista,server2008还需要.NET 3.5以上版本
Get-EventLog筛选日志
1 | Get-EventLog Security -instanceid 4624 |
Get-WinEvent筛选日志
1 | Get-WinEvent -FilterHashtable @{Logname='security';ID='4624'} |
日志工具
fulleventlogview
免安装,检索速度比自带的好。默认是7天日志,可在高级选项中更改。
日志清除
以下内容主要参考:Windows 入侵痕迹清理技巧
windows日志
1.事件查看器,清除日志
2.命令行清除日志
1 | PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}" |
3.利用脚本停止日志记录
该脚本遍历事件日志服务进程(专用svchost.exe)的线程堆栈,并标识事件日志线程以杀死事件日志服务线程。因此,系统将无法收集日志,同时事件日志服务似乎正在运行。
1 | https://github.com/hlldz/Invoke-Phant0m |
