windows安全日志分析

《windows安全日志分析》由会员分享，可在线阅读，更多相关《windows安全日志分析（6页珍藏版）》请在装配图网上搜索。

1、window安全日志分析今日服务器遭受入侵，入侵路径回溯：被入侵服务器一 跳板机一 办公网某主机。因此整 理记录windows被入侵相关信息。本文只研究windows安全登录相关日志，介绍三种事件 类型（登录，注销，尝试登陆）。通过此日志可查看windows主机是否通过3389远程服务 爆破进入。注：windows日志有存储大小限制，有被覆盖的可能.可修改，请自行百度。1.1 windows日志位置我的电脑右键管理：玄计軌熬-B施L具* m矣即輻冏l Window& 日志fZ|安全 冒设置已转竣事件刷选windows安全日志事件ID:4000-4700，登录相关v es泌曰二sg和.亭忡 II

2、 -mni nnc-事 14閒：2E,zia日晒刀伺艸口化5厠簸20117/a?雄朋汨ieroa口鼻iBEurity judrliig.3(7/4/17 巧？5曲NicrOMlft /indOwH SefufTt JudhinQ!24 asaaiTwiT 1109 UtaIMk:帕汕k 汕security dudliing.4CTZ fljfeiS：201I7.M/S7临诙祁正口代hhdaAFi currt!i judrlii.+空详耐功2G17/4/17iMicre-scift Endows 5ecunty auditing4572 孙H1.2三种登录事件详解1.2.1事件4648 （尝试登

3、陆）事件4648描述：此事件发生在日志所在windows主机，表明日志所在windows主机尝试连接远程主机，无论 连接成功与否，这里都会记录。网络地址端口：经测试发现只有同一局域网（且同一 C段）才会记录目标服务器ip端口。1.2.2事件4624 （登陆成功）事件 *44 I lier4ft TijruimHE Ecurity KOilikiiigu事件4624描述:表示日志所在win主机被成功连接“使用者：指明本地系统上请求登录的帐户。这通常是一个服务（例如Server服务）或本 地进程（例如 Winlogon。exe 或 Services.exe）.“登录类型”指明发生的登录种类。最常见

4、的类型是2 （交互式）和3 （网络）。（登陆 类型3:例如连接共享文件，打印机等；登陆类型7：解锁；登陆类型10：例如远程桌面等参 考连接：http:/blog。sina。“新登录”指明新登录是为哪个帐户创建的，即登录的帐户。“网络信息”指明远程登录请求来自哪里“工作站名”并非总是可用，而且在某些情况下 可能会留为空白.1.2.3事件4634 （注销）ty cucdi 匕匚血卜妒舌：S-1-5-21-3341BS5Q07-3WS5S575-1 528112-500QSrfnfctTH血二表示注销的用户名疑2014Z）Q2BUMNL出iDt0X47D7C752豆辭趨：3住莹玮话银亦聞三吐丰朱 砂

5、伶用豆益IP直好它和一个豆丘峯:翳.三施床.在同一吿厂直机上里杆于弍靠区间匚互读ID定G茁.1.3 日志分析工具 log_parser_lizard工具介绍：一个Log Parser的图形版，功能强大（可能需要安全相关依赖，我一开始安装了Log Parser） 使 用 参 考 连 接 :http:/blog 。 miniasp 。com/post/2012/03/26/Useful-tool-Log-ParserLizard-GUI.aspx下载地址：https： s3。获取15天免费key，需要注册邮箱：https:/docsfE8SRRKm2EF0v3Chsk 3fA/viewform工具

6、界面:Al QuAMIG - LOQ Fwmi LordNcr Queiy Open FieIjQuarKijilquerr! *H 曲ActwisnQume! ae吕L 闽妙0曰% XWRSraup旳 nameDrttefenipe iipeCpde Carrtaits 5ppft35ha. QuhbSlw OUtMtOpen LKBwHpw RCflS：?rWWpw册1血Drti WdeiECWQueY 砍lupsnnWftirtwsnRcpBWTTiII2 QueriesQuery SetBaarEvent LogsQk Al ijrnjr. Fiixn Esrt kgM* Cdi/w

7、加肢 qp4E 帕nr活 甲 F QiMr UKh# HMM. kiMM LQQiAJ &iT0f fiom Minc 网 Cdlrt 吹赋EdmEe专忡 harep: far 测 m直T I.HD Midiww EMibL DKMI HMM.仙TTri：ip 0 1 込 144口总阳 Tw LD&rjHtftsTop IB biQfE 昭 that hawi meHbz hxm Spsoarri nrriiri 阴ikT护iM*Kt EfcTHHwrtin.f Samph. harrcci riXuH! rpuc uBfi fina VLtni / 产 VTth 比ndtiaml fcrrn

8、rf an EnrA To cckrm /LKT Tap 2D EXTMT.FELBwIECPatfll BTM. SELECT 时 LO DHTMT（呵迫 Bm*n_HL lKT TOP 2b BTMT FLBwtEPaihL STM.执行查询:/Qu那31 Result Grri心 ChartI S DashboardtditT Fomiaf BookmarksT Insert roalst Window*a瞪寸a鼻心itkX曲申富二二Oi 口巳匸t；14 一一Ttu.5 ih -3. j-3Ji.pl* Nxnd口悴寻 Event Lo口 quex u Tuu c-3ld uhd工.口豆

9、 quszy t jT-幻二巳pzpez-txes zqil th.e toolbaz .2： SELEiZT TCP LOO * FEDM Sysrm：J.u：?：-+ 二Chart K DasHandE-eni： LGflRecord HunterTme.| r .Event E铢毗TypeE世供 TPE N&nw&EIVti.CJceqiXKjSrEtern3,57920 砂.-5tEm3,37a咖胪l.fl.2037/4/.qInlxxniatDn event0Hone3SPSErn3.5772D17/4/1.2017/4/jM164Inforrmtian mri：0None4Sp5C

10、mX5742037/4.10,0161Error event0NcmEU AlqucrasglMert Qju j k我这里把相关安全日志单独copy 份，下面是我执行的语句:“4旳Sim |山卩曲ai広如w讦帀的日破件用尸 Edr:p rm*p Elw4ni*ki *erv 丫叶闷 a?Pf r-fi* Er時 r啊SMr =u &d*、ma!-liH.Iu na L 、 *cvu HIUX LsriTCD . . |-HiJ4 ; 理堆般I。相应字段:EeccriNLUBber (If EvenrID (lEvent匚熬匸己gory (IStrings (5Message (5Fields

11、:EvenuLog 5J TlneWri rc en (T) Even LT ype N ame (3) SouxceName (5 皿(3)执行结果：Tlne Genera匸e ci (T)EvenuTips (I)EvenuCa匸迂gcxryN&irLE (S)Comp-uc e rNair.e Dara (SLi lU iXmHr-M*.*N 加 | UpmbxwTmiGfFmMEatk EJBIJiL-l 4OM：I?2bi7,MiL- kJiu? biMil+-U4u?dLWL3 L-9t4JX I k .I :H.lar taWkMd THnill! MD MzITI+3I.W-W

12、il CiS Wr.l-l-l6|J31%j:T1MUIWRaKhJH*1 ti-3- JIIl?l!-WKjCS-!I! JWi1-!IWhlLMhJh從*emfJuindkfcfl3HJF.迫：伽曲qtid物 lUn-RTKHi陋i命2Tb!；*dri-Sit”R14I世肿比dFig 24.4rnu|3fiMd 7|iMOJ wUMj ”*屈虹4屯彌卜9410*询甜屮肚刚庄！strings难以查看，导出excel后，使用python处理了一下:#! /usr/bin/python#* coding:utf8 *import xlrdimport xlwtimport timeworkboo

13、k 二 xlrd。 open workbook ( zhangsan.xlsx)sheet 二 workbook.sheets ()0nrows 二 sheet.nrowsncols = sheet.ncolsworkbookl = xlwt。 Workbook ()sheetl 二 workbook1.add_sheet(my sheet) sheetl。write (0,0, u时间)sheetl。write(0, 1, u事件 ID)sheetl。write(0, 2, u事件类型) sheetl。write(0, 3, u描述) for i in range(1, nrows):row

14、 二 sheet.row_values(i)timegenerated 二 xlrd.xldate as tuple (row0,0)timegenerated 二/： 。 format(timegenerated 0, timegeneratedl , timegenerated 2,timegenerated3, timegenerated4, timegenerated 5)eventid = int (row1】)string = str (row2).split (I)if eventid = 4648event_type 二 u，尝试登录account name01 二 strin

15、g 1account domain01 二 string2account_name02 二 string5account domain02 二 string 6destination_servername01 二 string8ip addr01 二 string 12result 二 u 使用者：:，凭证： ： , 目标服务器：，网络信息： 。format (account nameOl, account domainOI,account name02, account domain02 destination servernameOlip_addr01)elif eventid = 462

16、4：event type 二 u登录成功，account_name11 二 stringlaccount domainll 二 string 2account_name12 二 string 5account domain12 二 string6login typell 二 string 8workstation 二 string1lip addrll 二 string18account name12, account domain12, login typell, workstation, ip_addr11)elif eventid = 4634:event type 二 u，注销,acc

17、ount_name21 二 string1account domain21 二 string 2login_type21 二 string4result 二 u，使用者： ，登录类型：，.format(account name21, account domain21, login type21)# print i, timegenerated, eventid, result sheetl.write (i, 0, timegenerated) sheetl.write (i, 1, eventid)sheetl。 write (i, 2, event type)最终处理结果如下: 希望此文可以给关注 windows 主机的同学提供一些新的思路。