日志分析
windwos下查看系统日志
windows日志分为五类
- 应用程序日志
- 安全日志
- Setup日志 #安装日志
- 系统日志
- Forwarded Events日志 #转发日志
应用程序日志即安装应用程序产生的事件。
安全日志主要记录用户操作产生的日志,例如登入/登出,清除日志等。
安装日志记录安装中间件或者框架类似的事件产生的日志。
系统日志主要记录关于windwos系统产生的事件id
转发日志一般为空,默认未开启
Windows事件类型又分为五大类,错误、警告、信息,成功审核、失败审核。
进行Windows安全日志分析首先需要了解一些事件ID
### 用户操作事件id ###
1102-清理审计日志
1105-自动备份事件日志
4624-帐户已成功登录
4625-帐户登录失败
4634-帐户被注销包括锁屏
4647-用户发起注销
4648-使用显式凭据尝试登录
4649-检测到重播攻击
4657-修改注册表值
4665-尝试创建应用程序客户端上下文。
4666-应用程序尝试了一个操作
4670-对象的权限已更改
4672-给新登录分配特权
4674-尝试对特权对象执行操作
4692-尝试备份数据保护主密钥
4696-主要令牌已分配给进程
4697-添加服务
### 计划任务事件id ###
4698-已创建计划任务
4699-计划任务已删除
4700-已启用计划任务
4701-计划任务已禁用
4702-计划任务已更新
4703-令牌权已经调整
4704-已分配用户权限
4705-用户权限已被删除
4706-为域创建了新的信任
4707-已删除对域的信任
4709-IPsec服务已启动
4710-IPsec服务已禁用
4713-Kerberos策略已更改
4717-系统安全访问权限已授予帐户
4718-系统安全访问已从帐户中删除
4719-系统审核策略已更改
4720-已创建用户帐户
4722-用户帐户已启用
4723-尝试更改帐户的密码
4724-尝试重置帐户密码
4725-用户帐户已被禁用
4726-用户帐户已删除
4727-已创建启用安全性的全局组
4728-已将成员添加到启用安全性的全局组中
4729-成员已从启用安全性的全局组中删除
4730-已删除启用安全性的全局组
4731-已创建启用安全性的本地组
4732-已将成员添加到启用安全性的本地组
4733-成员已从启用安全性的本地组中删除
4734-已删除已启用安全性的本地组
4735-已启用安全性的本地组已更改
4737-启用安全性的全局组已更改
4738-用户帐户已更改
4740-用户帐户已被锁定
4741-已创建计算机帐户
4742-计算机帐户已更改
4743-计算机帐户已删除
4744-已创建禁用安全性的本地组
4745-已禁用安全性的本地组已更改
4746-已将成员添加到已禁用安全性的本地组
4747-已从安全性已禁用的本地组中删除成员
4756-已将成员添加到启用安全性的通用组中
4765-SID历史记录已添加到帐户中
4767-用户帐户已解锁
4768-请求了Kerberos身份验证票证(TGT)
4769-请求了Kerberos服务票证
4770-更新了Kerberos服务票证
4774-已映射帐户以进行登录
4775-无法映射帐户以进行登录
4776-域控制器尝试验证帐户的凭据
4777-域控制器无法验证帐户的凭据
4778-会话重新连接到Window Station
4782-密码哈希帐户被访问
4794-尝试设置目录服务还原模式管理员密码
4797-试图查询帐户是否存在空白密码
4798-枚举了用户的本地组成员身份。
4799-已枚举启用安全性的本地组成员身份
4800-工作站已锁定
4801-工作站已解锁
4802-屏幕保护程序被调用
### 域相关事件id ###
4820-Kerberos票证授予票证(TGT)被拒绝,因为该设备不符合访问控制限制
4821-Kerberos服务票证被拒绝,因为用户,设备或两者都不符合访问控制限制
4822-NTLM身份验证失败,因为该帐户是受保护用户组的成员
4823-NTLM身份验证失败,因为需要访问控制限制
4825-用户被拒绝访问远程桌面。默认情况下,仅当用户是Remote Desktop Users组或Administrators组的成员时才允许用户进行连接
### 5024-5037### 防火墙策略事件id
4946-已对Windows防火墙例外列表进行了更改。增加了一条规则
4947-已对Windows防火墙例外列表进行了更改。规则被修改了
4948-已对Windows防火墙例外列表进行了更改。规则已删除
5024-Windows防火墙服务已成功启动
5025-Windows防火墙服务已停止
### 5136-5145 ### 目录服务事件id
5137-已创建目录服务对象
5140-访问了网络共享对象
5142-添加了网络共享对象。
5145-检查网络共享对象以查看是否可以向客户端授予所需的访问权限
### ------- ###
5156-Windows筛选平台允许连接
5157-Windows筛选平台已阻止连接
日志保存类型分为四种,evtx,xml,txt,csv, 这次我们分析的日志文件类型为evtx的,使用windows可直接打开,具体分析放在(四)
参考链接
