Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Windows系统日志分析_windows日志命令

Windows系统日志分析_windows日志命令

作者头像
全栈程序员站长
发布于 2022-10-04 13:11:08
发布于 2022-10-04 13:11:08
5.6K00
代码可运行
举报
运行总次数:0
代码可运行

大家好,又见面了,我是你们的朋友全栈君。

本文使用的环境为我前面博客中介绍的搭建方法。具体链接请参考windows日志转发_leeezp的博客-CSDN博客_windows日志转发 安装 ewk (es+winlogbeat+kibana) 转发主机日志_leeezp的博客-CSDN博客

这篇文章记录windows事件和日志的对应关系。

0x00 远程桌面连接登录(mstsc)

kibana 中添加过滤 host.name、event.action、winlog.event_data.LogonProcessName、winlog.event_data.LogonType、process.name、winlog.event_id。

登录成功有三条事件:

登录类型为 10,RemoteInteractive

意思是“通过rdp协议远程登录”。

Fantastic Windows Logon types and Where to Find Credentials in Them

事件id 为 4648,意思是“

当进程通过显式指定帐户的凭据尝试登录帐户时,将生成此事件。

这最常发生在批处理类型配置(如计划任务)中,或者使用”RUNAS”命令时

4648 (S) 尝试使用显式凭据登录。 (Windows 10) – Windows security | Microsoft Docs

登录失败如果在windows事件查看器 — Windows日志 — 安全 查看不到日志,可能是因为没有开启windows本地安全策略审核。(可能与windows版本或本地配置有关)

打开本地安全策略,cmd 输入 secpol.msc,如果报错“试图引用不存在的令牌”,

将 C:\Windows\System32\secpol.msc 复制到其他目录,比如 桌面,双击打开即可。

在 “审核策略” — “审核登录事件” 开启 “成功” 和 “失败”的日志:

设置完再次mstsc登录失败,在安全日志可以查看到登录失败 事件ID 4625 的告警:

如果没有配置本地安全策略开启登录审计,还有一个地方的日志可以发现一些端倪:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
Hi,

You may view the Remote Desktop connection client ip address information in the following logs:

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManager

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Event Viewer\Windows Logs\Security  (Event ID: 4624, Logon Type: 10)

-TP

Logging IP adderess during remote desktop connection

我是在 Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

刚好符合我密码字典里尝试的15次登录失败。

登录失败不清楚为什么会有1149 认证成功的日志。

这个日志可以用于远程登录失败的审计,无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。

爆破成功的日志为很多 4625 中出现 4624,logintype 都是10。

如果看到 4778,4779 则表示 可能爆破时将正在登录的用户顶掉了。

0x01 UAC管理员账号登录

产生三条事件:

consent.exe 意思是“当用户开启用户账户控制(UAC)功能时,一个程序要更改或者使用一些比较高权限才能做的事情的功能的时候、还有当你使用管理员账户运行程序的时候,会弹出一个对话框,询问您是否允许程序修改计算机设置,这个对话框的进程就是consent.exe”。

consent.exe_百度百科

4672 (S) 分配给新登录的特殊权限。 (Windows 10) – Windows security | Microsoft Docs

4672 常常是管理员及以上权限的用户登录触发。

0x02 mimikatz sekurlsa::ekeys 显示Kerberos加密密钥

此操作默认windows是不会留下安全日志的。(多个win7环境测试)

打开本地安全的略–审核特权使用

执行 mimikatz privilege::debug sekurlsa::ekeys

SeTcbPrivilege

该特权标志着其拥有者是操作系统的一部分,拥有该特权的进程可利用LsaLogonUser()执行创建登录令牌等操作,因此可以充当任意用户

经多次测试,2个文件系统的告警几乎和此告警同时出现,可视为这个操作同时产生的事件。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/195996.html原文链接:https://javaforall.cn

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022年9月8日 上,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Windows系统日志分析工具– Log Parser「建议收藏」
可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客 写完才看见。吐了
全栈程序员站长
2022/10/04
5.5K0
Windows系统日志分析工具– Log Parser「建议收藏」
[ffffffff0x] 安全蓝队 : windows日志检索和分析
在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。
r0fus0d
2021/01/06
3.4K0
[ffffffff0x] 安全蓝队 : windows日志检索和分析
Windows主机日志分析办法与思路
看到有人问,windows主机日志怎么做分析,今天就分享一篇文章专门来说说windows主机日志分析。以下所有内容皆属于个人以往工作经验总结出来的,不是什么权威的行业标准,纯属个人理解,仅供参考使用。
FB客服
2021/01/22
1.6K0
Window日志分析
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Bypass
2019/07/08
2.3K0
Window日志分析
在Windows日志里发现入侵痕迹
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?
Bypass
2020/12/16
1.7K0
内网渗透 | 横向移动中MSTSC的密码获取
④:For Every: cmd开3389 win08 win03 win7 win2012 winxp win08,三条命令即可:
HACK学习
2021/07/21
2.2K0
Window日志分析
前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
全栈程序员站长
2022/09/07
7920
Window日志分析
2024全网最全面及最新且最为详细的网络安全技巧 十一:应急响应系列之Windows,Linux及Web日志分析入侵排查;(2)[含2024护网行动各厂商面试精题及全网查杀工具整合]
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
盛透侧视攻城狮
2024/10/21
2960
各种日志分析方式汇总
Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
信安之路
2019/07/05
6.3K0
各种日志分析方式汇总
Windows系统安全|Windows Server系统加固
开始-->管理工具-->计算机管理-->本地用户和组-->用户,然后要操作哪个用户就右击,然后属性
谢公子
2022/01/19
2.5K0
Windows系统安全|Windows Server系统加固
闲聊Windows系统日志
最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着头脑,所以就认真的分析了evtx格式的系统日志。这篇文章可能记录的不是很全面,师傅们多多指教。
FB客服
2018/07/30
12.3K0
闲聊Windows系统日志
Windows系统日志分析_windows系统事件日志
Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件服务日志,MS SQL Server数据库日志等。主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。用户可以通过它来检查错误发生的原因,处理应急事件,提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。
全栈程序员站长
2022/10/04
5.6K0
Windows系统日志分析_windows系统事件日志
Windows日志分析工具_Windows7激活工具
1.日志文件位置 控制面板→ 管理工具 → 事件查看器 或者win + R:eventvwr.msc
全栈程序员站长
2022/10/03
1.3K0
Windows日志分析工具_Windows7激活工具
威胁狩猎系列文章之四到六
Windows 提供了几种在应用程序之间传输数据的方式。其中一种方法是使用动态数据交换 (DDE,Dynamic Data Exchange) 协议。DDE 协议是一组规则集。它在共享数据的应用程序之间发送消息,并使用共享内存 (Shared Memory) 交换数据。应用可以使用 DDE 协议进行一次性的数据传输,也可以在当有新数据可用时互相推送更新做持续性的数据交换。
信安之路
2019/05/15
1.1K0
【攻防实战】Windows系统安全防御全攻略:从账户到日志的终极防护指南
本公众号专注于分享网络工程(思科、华为),系统运维(Linux)、以及安全等方面学习资源,以及相关技术文章、学习视频和学习书籍等。期待您的加入~~~关注回复“724”可领取免费学习资料(含有书籍)。
释然IT杂谈
2025/06/13
3280
【攻防实战】Windows系统安全防御全攻略:从账户到日志的终极防护指南
Windows 系统安全
目前,Windows 系统已经占据了绝大部分的桌面市场,同时在服务器市场也占有较大比重。长期以来,由于病毒攻击、黑客入侵等原因,给人们留下了易受攻击的不好印象。本文将以 Windows 系统安全方面展开分享一些 Windows 系统安全防护措施。
LuckySec
2022/11/02
2.8K0
Windows 系统安全
Windows日志取证
Windows常见安全事件日志ID汇总 适用于:Windows Server 2016
全栈工程师修炼指南
2020/10/23
4.2K0
Windows安全日志7关键事件ID分析
Windows日志里的事件分析有助于在系统出现异常时分析出异常原因,利于针对问题做出系统的修复和预防。今天阿祥就整理出Windows常见的事件,分析这些事件的具体原因,希望对系统运维工程师们有一定的帮助!
ICT系统集成阿祥
2024/12/03
8910
Windows安全日志7关键事件ID分析
Windows日志简介
Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关,以下列举出的事件ID的操纵系统为Vista/Win7/Win8/Win10/Server2008/Server 2012及之后的版本,一般情况下通过事件ID和时间段进行过滤分析
Windows技术交流
2020/04/24
2K0
02Windows日志分析[通俗易懂]
该日志主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息
全栈程序员站长
2022/10/04
2K0
相关推荐
Windows系统日志分析工具– Log Parser「建议收藏」
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验