Windows系統(tǒng)日志
簡介:
Windows操作系統(tǒng)在運行過程中會記錄大量日志信息。這些日志主要包括Windows 事件日志、IIS日志、FTP日志、Exchange Server郵件服務日志、SQL Server 數(shù)據(jù)庫日志。
Windows 日志文件以特定的數(shù)據(jù)結構存儲,每個記錄事件的數(shù)據(jù)結構包含9個元素:日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數(shù)據(jù)。 查看日志可以通過系統(tǒng)自帶的事件查看器查看。
Windows系統(tǒng)內(nèi)置三個核心日志文件:System、Security、Application,默認大小均為20480kB也就是20MB,記錄數(shù)據(jù)超過20MB時會覆蓋過期的日志記錄;其他的應用程序以及服務日志默認大小均為1MB,超過這個大小一樣的處理方法。
日志類型:
Windows 事件日志共有5種類型,所有的事件類型必須是這5種的其中一種,而且只能是一種。這5種事件類型分別是:
事件類型 | 注釋 |
---|---|
信息(Information) | 指應用程序、驅(qū)動程序、或服務的成功操作事件 |
警告(Warning) | 警告事件不是直接的、主要的,但是會導致將來問題的發(fā)生 |
錯誤(Error) | 指用戶應該知曉的重要問題 |
成功審核(Success Audit) | 主要指安全性日志,記錄用戶的登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄事件 |
失敗審核(Failure Audit) | 失敗的審核安全登錄嘗試 |
事件日志文件類型:
類別 | 類型 | 描述 | 文件名 |
---|---|---|---|
Windows日志 | 系統(tǒng) | 包含系統(tǒng)進程,設備磁盤活動等。事件記錄了設備驅(qū)動無法正常啟動或停止,硬件失敗,重復IP地址,系統(tǒng)進程的啟動,停止及暫停等行為。 | System.evtx |
Windows日志 | 安全 | 包含安全性相關的事件,如用戶權限變更,登錄及注銷,文件及文件夾訪問,打印等信息。 | Security.evtx |
Windows日志 | 應用程序 | 包含操作系統(tǒng)安裝的應用程序軟件相關的事件。事件包括了錯誤、警告及任何應用程序需要報告的信息,應用程序開發(fā)人員可以決定記錄哪些信息。 | Application.evtx |
應用程序及服務日志 | Microsoft | Microsoft文件夾下包含了200多個微軟內(nèi)置的事件日志分類,只有部分類型默認啟用記錄功能,如遠程桌面客戶端連接、無線網(wǎng)絡、有線網(wǎng)路、設備安裝等相關日志。 | 詳見日志存儲目錄對應文件 |
應用程序及服務日志 | Microsoft Office Alters | 微軟Office應用程序(包括Word/Excel/PowerPoint等)的各種警告信息,其中包含用戶對文檔操作過程中出現(xiàn)的各種行為,記錄有文件名、路徑等信息。 | OAerts.evtx |
應用程序及服務日志 | Windows PowerShell | Windows自帶的Powershell的日志信息 | Windows Powersh.evtx |
應用程序及服務日志 | Internet Explore | IE瀏覽器應用程序的日志信息,默認未啟用 | InternetExplotrer.evtx |
日志文件存放位置:%SystemRoot%\System32\winevt\Logs
常見的事件ID對應表:
適用于Win8/Win10/Server2008/Server2012 以及以后版本
事件ID | 說明 |
---|---|
1102 | 清理審計日志 |
4624 | 賬號登錄成功 |
4625 | 賬號登錄失敗 |
4672 | 授予特殊權限 |
4720 | 創(chuàng)建用戶 |
4726 | 刪除用戶 |
4728 | 將成員添加到啟用安全的全局組中 |
4729 | 將成員從安全的全局組中移除 |
4732 | 將成員添加到啟用安全的本地組中 |
4733 | 將成員從啟用安全的本地組中移除 |
4756 | 將成員添加到啟用安全的通用組中 |
4757 | 將成員從啟用安全的通用組中移除 |
4719 | 系統(tǒng)審計策略修改 |
其余事件ID可以通過此網(wǎng)站查找:http://www.eventid.net/search.asp
這五類事件中最重要的是成功審核(Success Audit),所有系統(tǒng)登錄成功都會被標記為成功審核。每個成功登錄事件都會標記一個登錄類型。
登錄類型 | 描述 |
---|---|
2 | 交互式登錄(用戶從控制臺登錄) |
3 | 網(wǎng)絡(通過net、use訪問共享網(wǎng)絡) |
4 | 批處理 |
5 | 服務啟動,由服務控制管理器啟動 |
7 | 解鎖(帶密碼保護的屏幕保護程序的無人值班工作站) |
8 | 網(wǎng)絡明文(IIS服務器登錄驗證) |
9 | 新憑據(jù)登錄 (呼叫方為出站連接克隆了其當前令牌和指定的新憑據(jù)。 新登錄會話具有相同的本地標識,但對其他網(wǎng)絡連接使用不同的憑據(jù)。) |
10 | 終端服務,遠程桌面,遠程輔助 |
11 | 使用存儲在計算機本地的網(wǎng)絡憑據(jù)登錄到此計算機的用戶。 未聯(lián)系域控制器以驗證憑據(jù)。 |
Windows 日志格式:
事件日志(Evtx) 是一種二進制格式的文件:
Evtx 文件結構包括三部分:文件頭、數(shù)據(jù)塊、結尾空值。
文件頭部4096字節(jié)。文件頭部簽名:45 6C 66 46 69 6C 65 00(ElfFile\x00)。
文件頭部結構如下:
偏移 | 長度 | 值 | 描述 |
---|---|---|---|
0 | 8 | ElfFile\x00 | 文件簽名 |
8 | 8 | 第一個數(shù)據(jù)塊 | |
16 | 8 | 最后一個數(shù)據(jù)塊 | |
24 | 8 | 下一個記錄標識符 | |
32 | 4 | 128 | 頭大小 |
36 | 2 | 1 | 次版本號 |
38 | 2 | 3 | 主版本號 |
40 | 2 | 4096 | 數(shù)據(jù)塊的偏移量 |
42 | 2 | 數(shù)據(jù)塊的數(shù)量 | |
44 | 76 | 空值 | |
120 | 4 | 文件標志 | |
124 | 4 | 校驗和 | |
128 | 3968 | 空值 |
Windows 事件日志大小是由數(shù)據(jù)塊的數(shù)量決定的,事件日志文件大小=(數(shù)據(jù)塊的數(shù)量x65536)+4096。文件標志如下:
值 | 標識符 | 描述 |
---|---|---|
0x0001 | 已更新 | |
0x0002 | 已填充 |
每個數(shù)據(jù)塊的大小是65536字節(jié),數(shù)據(jù)塊首部標簽名是45 6C 66 43 68 6E 6B 00(ElfChnk\x00),數(shù)據(jù)塊是由數(shù)據(jù)塊頭部,事件記錄,閑置空間組成。數(shù)據(jù)塊文件頭大小是512字節(jié),結構如下:
偏移量 | 長度 | 值 | 描述 |
---|---|---|---|
0 | 8 | ElfChnk\x00 | 標簽 |
8 | 8 | 第一個事件記錄編號 | |
16 | 8 | 最后一個事件編號 | |
24 | 8 | 第一個事件記錄標識符 | |
32 | 8 | 最后一個事件標識符 | |
40 | 4 | 128 | 指針數(shù)據(jù)偏移量 |
44 | 4 | 最后一個事件記錄數(shù)據(jù)偏移量 | |
48 | 4 | 自由空間偏移 | |
52 | 4 | 事件記錄校驗和(CRC32) | |
56 | 64 | 空值 | |
120 | 4 | 未知 | |
124 | 4 | 校驗和(頭部前120字節(jié)和第128字節(jié)到512字節(jié)) |
數(shù)據(jù)塊里有多條事件記錄,一條事件記錄對應一條日志信息。一條事件記錄由以下部分組成:
偏移量 | 長度 | 值 | 描述 |
---|---|---|---|
0 | 4 | "\x2a\x2a\x00\x00" | 簽名 |
4 | 4 | 事件塊大小 | |
8 | 8 | 事件記錄標識符 | |
16 | 8 | 事件記錄寫入時間 | |
24 | 事件內(nèi)容 | ||
4 | 尺寸拷貝 |
Windows 取證分析注意要點
windows 事件查看器沒有提供刪除特定日志的功能,也就說溯源取證時,可以直接按照事件ID,按照特定的時間點進行回溯。但是!但是! 通過特殊方法可以使事件查看器不顯示特定的日志,前邊說到一條事件記錄偏移量為4處是事件塊大小,也就說我們可以通過修改事件塊大小,使其長度覆蓋下一條日志,這樣事件查看器解析系統(tǒng)日志時,就會跳過下一條日志,這樣就使得特定事件被隱藏掉了。同時為了修改后的日志文件能夠正常顯示,我們還需要修改多個標志位和重新計算校驗和。
參考鏈接: