网络攻防学习笔记 Day67
1.Windows 系统
1)日志概述在 Windows 系统中,日志文件包括:系统日志、安全性日志及应用程序日志。
在 Windows Vista/Windows 7/Windows 8/Windows 10/Windows Server 2008 及以上版本系统中:
系统日志的位置为 %SystemRoot%\System32\Winevt\Logs\System.evtx;
安全性日志的位置为 %SystemRoot%\System32\Winevt\Logs\Security.evtx;
应用程序日志的位置为 %SystemRoot%\System32\Winevt\Logs\Application.evtx。
系统日志主要是指 Windows 系统中的各个组件在运行中产生的各种事件。这些事件一般可以分为:系统中各种驱动程序在运行中出现的重大问题、操作系统的多种组件在运行中出现的重大问题及应用软件在运行中出现的重大问题等。
安全性日志主要记录了各种与安全相关的事件。构成该日志的内容主要包括:各种登录与退出系统的成功或不成功的信息;对系统中各种重要资源进行的各种操作,如对系统文件进行的创建、删除、更改等操作。
应用程序日志主要记录各种应用程序所产生的各类事件。
在 Windows 7/Windows 8/Windows 10/Windows Server 2008/WindowsServer 2012 等系统中进行应急响应时,除了会用到应用程序、安全性及系统三类日志,还会用到其他日志,如 Dhcp、Bits-Client 等,这些日志存储在“%SystemRoot%\ System32\Winevt\Logs”目录下。还可以在【运行】对话框中输入【eventvwr】命令,打开【事件查看器】窗口。
2)日志分析日志分析就是在众多的日志中找出自己需要的日志,一般 Windows 系统中日志的分析主要有以下几种方法。
(1)通过内置的日志筛选器进行分析。
(2)通过 PowerShell 进行查询最常用的两个命令是【Get-EventLog】和【Get-WinEvent】,两者的区别是【Get-EventLog】只获取传统的事件日志,而【Get-WinEvent】是从传统的事件日志(如系统日志和应用程序日志)和新 Windows 事件日志技术生成的事件日志中获取事件,其还会获取 Windows 事件跟踪(ETW)生成的日志文件中的事件。
(3)FullEventLogView:FullEventLogView 是一个轻量级的日志检索工具,其是绿色版、免安装的,检索速度比 Windows 系统自带的检索工具要快,展示效果更好。
Event Log Explorer:Event Log Explorer 是一个检测系统安全的软件,可查看、监视和分析事件记录,包括安全性、系统、应用程序和其 Windows 系统事件记录。
Log Parser:Log Parser 是微软公司推出的日志分析工具,其功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory 等。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/1aa17344a8066ea9b6cfe2c48】。文章转载请联系作者。
评论