Windows事件日志簡要解析

Windows系統(tǒng)日志

簡介:

Windows操作系統(tǒng)在運行過程中會記錄大量日志信息。這些日志主要包括Windows 事件日志、IIS日志、FTP日志、Exchange Server郵件服務日志、SQL Server 數(shù)據(jù)庫日志

Windows 日志文件以特定的數(shù)據(jù)結構存儲,每個記錄事件的數(shù)據(jù)結構包含9個元素:日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數(shù)據(jù)。 查看日志可以通過系統(tǒng)自帶的事件查看器查看。

Windows系統(tǒng)內(nèi)置三個核心日志文件:System、Security、Application,默認大小均為20480kB也就是20MB,記錄數(shù)據(jù)超過20MB時會覆蓋過期的日志記錄;其他的應用程序以及服務日志默認大小均為1MB,超過這個大小一樣的處理方法。

日志類型:

Windows 事件日志共有5種類型,所有的事件類型必須是這5種的其中一種,而且只能是一種。這5種事件類型分別是:

事件類型 注釋
信息(Information) 指應用程序、驅(qū)動程序、或服務的成功操作事件
警告(Warning) 警告事件不是直接的、主要的,但是會導致將來問題的發(fā)生
錯誤(Error) 指用戶應該知曉的重要問題
成功審核(Success Audit) 主要指安全性日志,記錄用戶的登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄事件
失敗審核(Failure Audit) 失敗的審核安全登錄嘗試

事件日志文件類型:

類別 類型 描述 文件名
Windows日志 系統(tǒng) 包含系統(tǒng)進程,設備磁盤活動等。事件記錄了設備驅(qū)動無法正常啟動或停止,硬件失敗,重復IP地址,系統(tǒng)進程的啟動,停止及暫停等行為。 System.evtx
Windows日志 安全 包含安全性相關的事件,如用戶權限變更,登錄及注銷,文件及文件夾訪問,打印等信息。 Security.evtx
Windows日志 應用程序 包含操作系統(tǒng)安裝的應用程序軟件相關的事件。事件包括了錯誤、警告及任何應用程序需要報告的信息,應用程序開發(fā)人員可以決定記錄哪些信息。 Application.evtx
應用程序及服務日志 Microsoft Microsoft文件夾下包含了200多個微軟內(nèi)置的事件日志分類,只有部分類型默認啟用記錄功能,如遠程桌面客戶端連接、無線網(wǎng)絡、有線網(wǎng)路、設備安裝等相關日志。 詳見日志存儲目錄對應文件
應用程序及服務日志 Microsoft Office Alters 微軟Office應用程序(包括Word/Excel/PowerPoint等)的各種警告信息,其中包含用戶對文檔操作過程中出現(xiàn)的各種行為,記錄有文件名、路徑等信息。 OAerts.evtx
應用程序及服務日志 Windows PowerShell Windows自帶的Powershell的日志信息 Windows Powersh.evtx
應用程序及服務日志 Internet Explore IE瀏覽器應用程序的日志信息,默認未啟用 InternetExplotrer.evtx

日志文件存放位置:%SystemRoot%\System32\winevt\Logs

常見的事件ID對應表:

適用于Win8/Win10/Server2008/Server2012 以及以后版本

事件ID 說明
1102 清理審計日志
4624 賬號登錄成功
4625 賬號登錄失敗
4672 授予特殊權限
4720 創(chuàng)建用戶
4726 刪除用戶
4728 將成員添加到啟用安全的全局組中
4729 將成員從安全的全局組中移除
4732 將成員添加到啟用安全的本地組中
4733 將成員從啟用安全的本地組中移除
4756 將成員添加到啟用安全的通用組中
4757 將成員從啟用安全的通用組中移除
4719 系統(tǒng)審計策略修改

其余事件ID可以通過此網(wǎng)站查找:http://www.eventid.net/search.asp

這五類事件中最重要的是成功審核(Success Audit),所有系統(tǒng)登錄成功都會被標記為成功審核。每個成功登錄事件都會標記一個登錄類型。

登錄類型 描述
2 交互式登錄(用戶從控制臺登錄)
3 網(wǎng)絡(通過net、use訪問共享網(wǎng)絡)
4 批處理
5 服務啟動,由服務控制管理器啟動
7 解鎖(帶密碼保護的屏幕保護程序的無人值班工作站)
8 網(wǎng)絡明文(IIS服務器登錄驗證)
9 新憑據(jù)登錄 (呼叫方為出站連接克隆了其當前令牌和指定的新憑據(jù)。 新登錄會話具有相同的本地標識,但對其他網(wǎng)絡連接使用不同的憑據(jù)。)
10 終端服務,遠程桌面,遠程輔助
11 使用存儲在計算機本地的網(wǎng)絡憑據(jù)登錄到此計算機的用戶。 未聯(lián)系域控制器以驗證憑據(jù)。

Windows 日志格式:

事件日志(Evtx) 是一種二進制格式的文件:

image-20200424135911618

Evtx 文件結構包括三部分:文件頭、數(shù)據(jù)塊、結尾空值。

文件頭部4096字節(jié)。文件頭部簽名:45 6C 66 46 69 6C 65 00(ElfFile\x00)。

文件頭部結構如下:

偏移 長度 描述
0 8 ElfFile\x00 文件簽名
8 8 第一個數(shù)據(jù)塊
16 8 最后一個數(shù)據(jù)塊
24 8 下一個記錄標識符
32 4 128 頭大小
36 2 1 次版本號
38 2 3 主版本號
40 2 4096 數(shù)據(jù)塊的偏移量
42 2 數(shù)據(jù)塊的數(shù)量
44 76 空值
120 4 文件標志
124 4 校驗和
128 3968 空值

Windows 事件日志大小是由數(shù)據(jù)塊的數(shù)量決定的,事件日志文件大小=(數(shù)據(jù)塊的數(shù)量x65536)+4096。文件標志如下:

標識符 描述
0x0001 已更新
0x0002 已填充

每個數(shù)據(jù)塊的大小是65536字節(jié),數(shù)據(jù)塊首部標簽名是45 6C 66 43 68 6E 6B 00(ElfChnk\x00),數(shù)據(jù)塊是由數(shù)據(jù)塊頭部,事件記錄,閑置空間組成。數(shù)據(jù)塊文件頭大小是512字節(jié),結構如下:

偏移量 長度 描述
0 8 ElfChnk\x00 標簽
8 8 第一個事件記錄編號
16 8 最后一個事件編號
24 8 第一個事件記錄標識符
32 8 最后一個事件標識符
40 4 128 指針數(shù)據(jù)偏移量
44 4 最后一個事件記錄數(shù)據(jù)偏移量
48 4 自由空間偏移
52 4 事件記錄校驗和(CRC32)
56 64 空值
120 4 未知
124 4 校驗和(頭部前120字節(jié)和第128字節(jié)到512字節(jié))

數(shù)據(jù)塊里有多條事件記錄,一條事件記錄對應一條日志信息。一條事件記錄由以下部分組成:

偏移量 長度 描述
0 4 "\x2a\x2a\x00\x00" 簽名
4 4 事件塊大小
8 8 事件記錄標識符
16 8 事件記錄寫入時間
24 事件內(nèi)容
4 尺寸拷貝

Windows 取證分析注意要點

windows 事件查看器沒有提供刪除特定日志的功能,也就說溯源取證時,可以直接按照事件ID,按照特定的時間點進行回溯。但是!但是! 通過特殊方法可以使事件查看器不顯示特定的日志,前邊說到一條事件記錄偏移量為4處是事件塊大小,也就說我們可以通過修改事件塊大小,使其長度覆蓋下一條日志,這樣事件查看器解析系統(tǒng)日志時,就會跳過下一條日志,這樣就使得特定事件被隱藏掉了。同時為了修改后的日志文件能夠正常顯示,我們還需要修改多個標志位和重新計算校驗和。

參考鏈接:

https://www.freebuf.com/vuls/175560.html

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-logon-events

https://github.com/libyal/libevtx/blob/master/documentation/Windows%20XML%20Event%20Log%20(EVTX).asciidoc

?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內(nèi)容

  • 0 操作成功完成。1 功能錯誤。2 系統(tǒng)找不到指定的文件。3 系統(tǒng)找不到指定的路徑。4 系統(tǒng)無法打開文件...
    ccq_inori閱讀 2,898評論 0 0
  • mysql錯誤代碼對照表較完整 0101 屬于其他進程的專用標志。0102 標志已經(jīng)設置,無法關閉。0103 無法...
    TY_閱讀 5,052評論 0 1
  • feisky云計算、虛擬化與Linux技術筆記posts - 1014, comments - 298, trac...
    不排版閱讀 3,903評論 0 5
  • 很多該做的事情 當下不去做 以后就真的沒時間去做啦 在時間允許 又有能力的時候 能做的就盡量去做 不要想著以后 不...
    神于天圣于地閱讀 180評論 0 1
  • 在別人印象中我一直都是一個不合群的人 也不知道是從什么時候開始的 父母說我小時候特別活躍 當然我特別不喜歡他們這么...
    金玉滿堂_722b閱讀 112評論 0 3