看到有人问,windows主机日志怎么做分析,今天就分享一篇文章专门来说说windows主机日志分析。以下所有内容皆属于个人以往工作经验总结出来的,不是什么权威的行业标准,纯属个人理解,仅供参考使用。
在做日志分析前,首先我们针对此项工作需要有一个清晰的思路:查看哪些主机的日志(筛选对象)——>在哪里查看(取样)——>怎么查看(研判分析)——>做好记录、保留关键截图——>上报并处置事件闭环。
1、筛选分析主机资产筛选原理和上篇文章《Windows主机入侵痕迹排查办法》中的“初步筛选排查资产”部分内容一样,不可能在短时间内客户的所有区域所有主机资产我们都要一一去查看和分析,我们最需要的是找出重点难点,针对有问题的或者容易出问题的比较重要的主机资产进行重点关照。
2、采集日志样本先补充几个前提条件:
①Windows 服务器系统的审核功能必须是启用的,并且配置好审计策略的,一旦系统出现故障、安全事故才可以查看得到系统的日志文件,有助于排除故障,追查入侵者的信息等。
②日志还得提前做好定期备份,最好是全量异地备份,往往入侵者也不是傻子,一般会“毁尸灭迹”或者更高明的“移花接木”篡改日志内容。(这个时候可以给客户说说日志的重要性以及进行保护的必要性了)
③做好日志文件的访问控制,限制权限,尽最大化的防护手段避免出现日志被删除和被篡改的风险。
越是充分满足以上的条件,后续分析的结果才会越具备科学性、真实性、不可抵赖性。
本次选取的主机服务器版本是windows server 2008 R2
打开日志:开始---->管理工具---->事件查看器
一般我们主要查看的三类日志是:应用程序日志、安全日志、系统日志
应用程序日志:
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,默认存放路径:%SystemRoot%System32WinevtLogsApplication.evtx。(另外插一句,一般做等保检查里的主机层面检查,有专门的检查项就是来查看日志的,就是看这里的内容)
安全日志:记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。这个日志一般是安全工程师重点关注对象。默认存放路径:%SystemRoot%System32WinevtLogsSecurity.evtx
系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。默认存放路径:%SystemRoot%System32WinevtLogsSystem.evtx
了解完这些信息后,我们可以将需要用的日志进行采集了,采集日志也有个好处,那就是相当于又多了一份备份,不必一直远程登录客户的主机服务器。采集完后,我们接下来的主要工作就是分析日志了。
3、日志分析此时,我们还需要知道最常见的事件id:
4624— 成功登录
4625 —失败的登录
4634/4647 — 成功注销
4648— 使用显式(explicit)凭证登录(RunAs)
4672 — 用户使用超级用户权限的登录 (Administrator)
4720 — 账户创建
若想了解更多,可以自行网上去下载一个windows事件id及解释大全。