Windows事件日志簡(jiǎn)要解析

Windows系統(tǒng)日志

簡(jiǎn)介:

Windows操作系統(tǒng)在運(yùn)行過程中會(huì)記錄大量日志信息。這些日志主要包括Windows 事件日志、IIS日志、FTP日志、Exchange Server郵件服務(wù)日志、SQL Server 數(shù)據(jù)庫(kù)日志。

Windows 日志文件以特定的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ),每個(gè)記錄事件的數(shù)據(jù)結(jié)構(gòu)包含9個(gè)元素:日期/時(shí)間、事件類型、用戶、計(jì)算機(jī)、事件ID、來(lái)源、類別、描述、數(shù)據(jù)。 查看日志可以通過系統(tǒng)自帶的事件查看器查看。

Windows系統(tǒng)內(nèi)置三個(gè)核心日志文件:System、Security、Application,默認(rèn)大小均為20480kB也就是20MB,記錄數(shù)據(jù)超過20MB時(shí)會(huì)覆蓋過期的日志記錄;其他的應(yīng)用程序以及服務(wù)日志默認(rèn)大小均為1MB,超過這個(gè)大小一樣的處理方法。

日志類型:

Windows 事件日志共有5種類型,所有的事件類型必須是這5種的其中一種,而且只能是一種。這5種事件類型分別是:

事件類型 注釋
信息(Information) 指應(yīng)用程序、驅(qū)動(dòng)程序、或服務(wù)的成功操作事件
警告(Warning) 警告事件不是直接的、主要的,但是會(huì)導(dǎo)致將來(lái)問題的發(fā)生
錯(cuò)誤(Error) 指用戶應(yīng)該知曉的重要問題
成功審核(Success Audit) 主要指安全性日志,記錄用戶的登錄/注銷、對(duì)象訪問、特權(quán)使用、賬戶管理、策略更改、詳細(xì)跟蹤、目錄服務(wù)訪問、賬戶登錄事件
失敗審核(Failure Audit) 失敗的審核安全登錄嘗試

事件日志文件類型:

類別 類型 描述 文件名
Windows日志 系統(tǒng) 包含系統(tǒng)進(jìn)程,設(shè)備磁盤活動(dòng)等。事件記錄了設(shè)備驅(qū)動(dòng)無(wú)法正常啟動(dòng)或停止,硬件失敗,重復(fù)IP地址,系統(tǒng)進(jìn)程的啟動(dòng),停止及暫停等行為。 System.evtx
Windows日志 安全 包含安全性相關(guān)的事件,如用戶權(quán)限變更,登錄及注銷,文件及文件夾訪問,打印等信息。 Security.evtx
Windows日志 應(yīng)用程序 包含操作系統(tǒng)安裝的應(yīng)用程序軟件相關(guān)的事件。事件包括了錯(cuò)誤、警告及任何應(yīng)用程序需要報(bào)告的信息,應(yīng)用程序開發(fā)人員可以決定記錄哪些信息。 Application.evtx
應(yīng)用程序及服務(wù)日志 Microsoft Microsoft文件夾下包含了200多個(gè)微軟內(nèi)置的事件日志分類,只有部分類型默認(rèn)啟用記錄功能,如遠(yuǎn)程桌面客戶端連接、無(wú)線網(wǎng)絡(luò)、有線網(wǎng)路、設(shè)備安裝等相關(guān)日志。 詳見日志存儲(chǔ)目錄對(duì)應(yīng)文件
應(yīng)用程序及服務(wù)日志 Microsoft Office Alters 微軟Office應(yīng)用程序(包括Word/Excel/PowerPoint等)的各種警告信息,其中包含用戶對(duì)文檔操作過程中出現(xiàn)的各種行為,記錄有文件名、路徑等信息。 OAerts.evtx
應(yīng)用程序及服務(wù)日志 Windows PowerShell Windows自帶的Powershell的日志信息 Windows Powersh.evtx
應(yīng)用程序及服務(wù)日志 Internet Explore IE瀏覽器應(yīng)用程序的日志信息,默認(rèn)未啟用 InternetExplotrer.evtx

日志文件存放位置:%SystemRoot%\System32\winevt\Logs

常見的事件ID對(duì)應(yīng)表:

適用于Win8/Win10/Server2008/Server2012 以及以后版本

事件ID 說明
1102 清理審計(jì)日志
4624 賬號(hào)登錄成功
4625 賬號(hào)登錄失敗
4672 授予特殊權(quán)限
4720 創(chuàng)建用戶
4726 刪除用戶
4728 將成員添加到啟用安全的全局組中
4729 將成員從安全的全局組中移除
4732 將成員添加到啟用安全的本地組中
4733 將成員從啟用安全的本地組中移除
4756 將成員添加到啟用安全的通用組中
4757 將成員從啟用安全的通用組中移除
4719 系統(tǒng)審計(jì)策略修改

其余事件ID可以通過此網(wǎng)站查找:http://www.eventid.net/search.asp

這五類事件中最重要的是成功審核(Success Audit),所有系統(tǒng)登錄成功都會(huì)被標(biāo)記為成功審核。每個(gè)成功登錄事件都會(huì)標(biāo)記一個(gè)登錄類型。

登錄類型 描述
2 交互式登錄(用戶從控制臺(tái)登錄)
3 網(wǎng)絡(luò)(通過net、use訪問共享網(wǎng)絡(luò))
4 批處理
5 服務(wù)啟動(dòng),由服務(wù)控制管理器啟動(dòng)
7 解鎖(帶密碼保護(hù)的屏幕保護(hù)程序的無(wú)人值班工作站)
8 網(wǎng)絡(luò)明文(IIS服務(wù)器登錄驗(yàn)證)
9 新憑據(jù)登錄 (呼叫方為出站連接克隆了其當(dāng)前令牌和指定的新憑據(jù)。 新登錄會(huì)話具有相同的本地標(biāo)識(shí),但對(duì)其他網(wǎng)絡(luò)連接使用不同的憑據(jù)。)
10 終端服務(wù),遠(yuǎn)程桌面,遠(yuǎn)程輔助
11 使用存儲(chǔ)在計(jì)算機(jī)本地的網(wǎng)絡(luò)憑據(jù)登錄到此計(jì)算機(jī)的用戶。 未聯(lián)系域控制器以驗(yàn)證憑據(jù)。

Windows 日志格式:

事件日志(Evtx) 是一種二進(jìn)制格式的文件:

image-20200424135911618

Evtx 文件結(jié)構(gòu)包括三部分:文件頭、數(shù)據(jù)塊、結(jié)尾空值。

文件頭部4096字節(jié)。文件頭部簽名:45 6C 66 46 69 6C 65 00(ElfFile\x00)。

文件頭部結(jié)構(gòu)如下:

偏移 長(zhǎng)度 描述
0 8 ElfFile\x00 文件簽名
8 8 第一個(gè)數(shù)據(jù)塊
16 8 最后一個(gè)數(shù)據(jù)塊
24 8 下一個(gè)記錄標(biāo)識(shí)符
32 4 128 頭大小
36 2 1 次版本號(hào)
38 2 3 主版本號(hào)
40 2 4096 數(shù)據(jù)塊的偏移量
42 2 數(shù)據(jù)塊的數(shù)量
44 76 空值
120 4 文件標(biāo)志
124 4 校驗(yàn)和
128 3968 空值

Windows 事件日志大小是由數(shù)據(jù)塊的數(shù)量決定的,事件日志文件大小=(數(shù)據(jù)塊的數(shù)量x65536)+4096。文件標(biāo)志如下:

標(biāo)識(shí)符 描述
0x0001 已更新
0x0002 已填充

每個(gè)數(shù)據(jù)塊的大小是65536字節(jié),數(shù)據(jù)塊首部標(biāo)簽名是45 6C 66 43 68 6E 6B 00(ElfChnk\x00),數(shù)據(jù)塊是由數(shù)據(jù)塊頭部,事件記錄,閑置空間組成。數(shù)據(jù)塊文件頭大小是512字節(jié),結(jié)構(gòu)如下:

偏移量 長(zhǎng)度 描述
0 8 ElfChnk\x00 標(biāo)簽
8 8 第一個(gè)事件記錄編號(hào)
16 8 最后一個(gè)事件編號(hào)
24 8 第一個(gè)事件記錄標(biāo)識(shí)符
32 8 最后一個(gè)事件標(biāo)識(shí)符
40 4 128 指針數(shù)據(jù)偏移量
44 4 最后一個(gè)事件記錄數(shù)據(jù)偏移量
48 4 自由空間偏移
52 4 事件記錄校驗(yàn)和(CRC32)
56 64 空值
120 4 未知
124 4 校驗(yàn)和(頭部前120字節(jié)和第128字節(jié)到512字節(jié))

數(shù)據(jù)塊里有多條事件記錄,一條事件記錄對(duì)應(yīng)一條日志信息。一條事件記錄由以下部分組成:

偏移量 長(zhǎng)度 描述
0 4 "\x2a\x2a\x00\x00" 簽名
4 4 事件塊大小
8 8 事件記錄標(biāo)識(shí)符
16 8 事件記錄寫入時(shí)間
24 事件內(nèi)容
4 尺寸拷貝

Windows 取證分析注意要點(diǎn)

windows 事件查看器沒有提供刪除特定日志的功能,也就說溯源取證時(shí),可以直接按照事件ID,按照特定的時(shí)間點(diǎn)進(jìn)行回溯。但是!但是! 通過特殊方法可以使事件查看器不顯示特定的日志,前邊說到一條事件記錄偏移量為4處是事件塊大小,也就說我們可以通過修改事件塊大小,使其長(zhǎng)度覆蓋下一條日志,這樣事件查看器解析系統(tǒng)日志時(shí),就會(huì)跳過下一條日志,這樣就使得特定事件被隱藏掉了。同時(shí)為了修改后的日志文件能夠正常顯示,我們還需要修改多個(gè)標(biāo)志位和重新計(jì)算校驗(yàn)和。

參考鏈接:

https://www.freebuf.com/vuls/175560.html

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-logon-events

https://github.com/libyal/libevtx/blob/master/documentation/Windows%20XML%20Event%20Log%20(EVTX).asciidoc

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 0 操作成功完成。1 功能錯(cuò)誤。2 系統(tǒng)找不到指定的文件。3 系統(tǒng)找不到指定的路徑。4 系統(tǒng)無(wú)法打開文件...
    ccq_inori閱讀 3,038評(píng)論 0 0
  • mysql錯(cuò)誤代碼對(duì)照表較完整 0101 屬于其他進(jìn)程的專用標(biāo)志。0102 標(biāo)志已經(jīng)設(shè)置,無(wú)法關(guān)閉。0103 無(wú)法...
    TY_閱讀 5,202評(píng)論 0 1
  • feisky云計(jì)算、虛擬化與Linux技術(shù)筆記posts - 1014, comments - 298, trac...
    不排版閱讀 4,380評(píng)論 0 5
  • 很多該做的事情 當(dāng)下不去做 以后就真的沒時(shí)間去做啦 在時(shí)間允許 又有能力的時(shí)候 能做的就盡量去做 不要想著以后 不...
    神于天圣于地閱讀 234評(píng)論 0 1
  • 在別人印象中我一直都是一個(gè)不合群的人 也不知道是從什么時(shí)候開始的 父母說我小時(shí)候特別活躍 當(dāng)然我特別不喜歡他們這么...
    金玉滿堂_722b閱讀 151評(píng)論 0 3

友情鏈接更多精彩內(nèi)容