Windows日志研究
Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。处理应急事件时,客户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。
Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证,了解计算机上上发生的具体行为。
查看系统日志方法,Windows系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows系统日志。打开事件查看器方法:开始->运行->输入eventvwr->回车的方式快速打开该工具。使用该工具可以看到系统日志被分为了两大类:Windows日志和应用程序和服务日志。早期版本中Windows日志只有,应用程序,安全,系统和Setup,新的版本中增加了设置及转发事件日志(默认禁用)。
系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。
Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:
1. 信息(Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件。
2. 警告(Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
3. 错误(Error)
错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
4. 成功审核(Success audit)
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。
5. 失败审核(Failure audit)
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
事件日志文件存储位置
(Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本)
类型 |
事件类型 |
描述 |
文件名 |
---|---|---|---|
Windows日志 |
系统 |
包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。 |
System.evtx |
安全 |
包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。 |
Security.evtx |
|
应用程序 |
包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。 |
Application.evtx |
|
应用程序及服务日志 |
Microsoft |
Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。 |
详见日志存储目录对应文件 |
Microsoft Office Alerts |
微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。 |
OAerts.evtx |
|
Windows PowerShell |
Windows自带的PowerShell应用的日志信息。 |
Windows PowerShell.evtx |
|
Internet Explorer |
IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。 |
Internet Explorer.evtx |
Event Log files
The event logs files can normally be found in:
C:\Windows\System32\winevt\Logs\
Filename | Description |
---|---|
Application.evtx |
Application events |
DFS Replication.evtx |
TODO |
HardwareEvents.evtx |
TODO |
Internet Explorer.evtx |
Internet Explorer events |
Key Management Service.evtx |
TODO |
Media Center.evtx |
TODO |
Microsoft-Windows-Bits-Client%4Operational.evtx |
TODO |
Microsoft-Windows-CodeIntegrity%4Operational.evtx |
TODO |
Microsoft-Windows-CorruptedFileRecovery-Client%4Operational.evtx |
TODO |
Microsoft-Windows-CorruptedFileRecovery-Server%4Operational.evtx |
TODO |
Microsoft-Windows-DateTimeControlPanel%4Operational.evtx |
TODO |
Microsoft-Windows-Diagnosis-DPS%4Operational.evtx |
TODO |
Microsoft-Windows-Diagnosis-PLA%4Operational.evtx |
TODO |
Microsoft-Windows-Diagnostics-Networking%4Operational.evtx |
TODO |
Microsoft-Windows-Diagnostics-Performance%4Operational.evtx |
TODO |
Microsoft-Windows-DiskDiagnostic%4Operational.evtx |
TODO |
Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx |
TODO |
Microsoft-Windows-DiskDiagnosticResolver%4Operational.evtx |
TODO |
Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx |
TODO |
Microsoft-Windows-Forwarding%4Operational.evtx |
TODO |
Microsoft-Windows-GroupPolicy%4Operational.evtx |
TODO |
Microsoft-Windows-Help%4Operational.evtx |
TODO |
Microsoft-Windows-International%4Operational.evtx |
TODO |
Microsoft-Windows-Kernel-WDI%4Operational.evtx |
TODO |
Microsoft-Windows-Kernel-WHEA.evtx |
TODO |
Microsoft-Windows-LanguagePackSetup%4Operational.evtx |
TODO |
Microsoft-Windows-MUI%4Operational.evtx |
TODO |
Microsoft-Windows-NetworkAccessProtection%4Operational.evtx |
TODO |
Microsoft-Windows-Program-Compatibility-Assistant%4Operational.evtx |
TODO |
Microsoft-Windows-ReadyBoost%4Operational.evtx |
TODO |
Microsoft-Windows-ReliabilityAnalysisComponent%4Metrics.evtx |
TODO |
Microsoft-Windows-ReliabilityAnalysisComponent%4Operational.evtx |
TODO |
Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx |
TODO |
Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx |
TODO |
Microsoft-Windows-Resource-Leak-Diagnostic%4Operational.evtx |
TODO |
Microsoft-Windows-RestartManager%4Operational.evtx |
TODO |
Microsoft-Windows-TaskScheduler%4Operational.evtx |
TODO |
Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx |
TODO |
Microsoft-Windows-UAC%4Operational.evtx |
TODO |
Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx |
TODO |
Microsoft-Windows-WindowsUpdateClient%4Operational.evtx |
TODO |
Microsoft-Windows-Winlogon%4Operational.evtx |
TODO |
Microsoft-Windows-Wired-AutoConfig%4Operational.evtx |
TODO |
Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx |
TODO |
ODiag.evtx |
TODO |
OSession.evtx |
Office sessions events |
Security.evtx |
Security events |
Setup.evtx |
Setup events |
System.evtx |
System events |
参考:
https://github.com/libyal/libevtx/blob/master/documentation/Windows%20XML%20Event%20Log%20%28EVTX%29.asciidoc#2-file-header
https://blog.csdn.net/qq_27446553/article/details/80906390#commentBox
Windows日志研究相关推荐
- 计算机日志研究方法,基于日志的计算机取证技术研究与实现
摘要: 计算机技术的飞速发展为人类文明开启一扇新大门,它在创造巨大财富的同时,也必然伴随毁坏的发生,计算机犯罪便是其中最常见也最屡禁不止的网络犯罪行为.计算机取证技术正是在这种情况下产生并发展起来的, ...
- Windows 日志高级筛选实践
背景 经常需要查看日志,不仅是用来排错,有些时候我还需要监控系统来抓取特定日志来帮助减少我的工作负担,以及时监控到异常出现,并作出通知及响应,那么从大量日志中快速并精确筛选出想要的日志,并且精确提取信 ...
- Windows日志及其保护
日志文件(log)记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用.如果不注意对它保护,被人将日志文件清空或篡改,会给系统带来严重的安全隐患. ...
- 用Syslog 记录UNIX和Windows日志的方法
用Syslog 记录UNIX和Windows日志的方法 在比较大规模的网络应用或者对安全有一定要求的应用中,通常需要对系统的日志进行记录分类并审核,默认情况下,每个系统会在本地硬盘上记录自己的日志,这 ...
- 【script】python 解析 Windows日志(python-evtx)
Windows日志 模块安装 pip install python-evtx Windows日志 解析源码 源码 import mmap import contextlib import dateti ...
- 将Windows日志转换为Syslog
无论是Unix.Linux.FreeBSD.Ubuntu,还是路由器.交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在.在RFC 3164中定义了syslog是一种日志协议,sysl ...
- 使用OData协议查询Windows日志
OData开放数据协议是微软针对Google的GData推出的,旨在推广Web程序数据库格式标准化的开放数据协议,微软将 OData 定义为基于 HTTP.AtomPub 和 JSON 的协议,增强各 ...
- windows日志 重要事件 id_操作系统日志简述
大家好,我是anyux.本文介绍操作系统日志 网络环境日志分类 Unix/Linux系统日志 1.登录时间日志子系统:登录时间日志通常会与多个程序的执行产生关联,一般情况下,会记录到/var/log/ ...
- Windows:打开MSDTC,恢复Windows任务栏,查看windows日志,打开远程桌面,打开Services,资源监控...
一,Win10 打开 MSDTC 1,Win+R 打开运行窗口,输入 dcomcnfg,打开组件服务窗口 2,在组件服务 catalog下找到 Distributed Transaction Coor ...
最新文章
- HDU.3177Crixalis's Equipment(贪心)
- vFORUM十大“最”看点,带你“撩”会议
- 【dijkstra模板】旅游规划 (25 分)
- IP地址与MAC地址的区别
- 定了!这个专业研究生扩招,博士生待遇要提高!已有多所高校新增…
- CCF201803-1 跳一跳
- [webpack] 如何把代码内联进html中?
- oracle缓存怎么看,Oracle从缓存里面查找真实的执行计划
- Oracle查询优化改写技巧与案例总结一
- 网维无盘服务器错误代码,网维大师无盘环境INTER傲腾方案常见问题解答?
- 奥创手机群控安装到魅蓝3的流程
- 怎么用域名?域名使用步骤
- 如何使用promise.all
- 信息系统项目管理师考试教程(第3版)PDF
- 2022-2028全球与中国锂电池用PVDF市场现状及未来发展趋势
- 网站域名要加www吗?没有www会影响网站SEO吗?
- 全民Python时代已经到来
- HPET(High Precision Event Timer)简要说明
- 最小连续m个合数---枚举
- 获取钉钉企业部门用户信息