应急响应
应急响应概述
Windows入侵排查
Windows日志分析
Linux入侵排查
Linux日志分析
Windows入侵排查【详细版】
Linux入侵排查【详细版】
蚁剑流量分析
冰蝎流量分析
中国菜刀流量分析
Webshell管理工具流量特征
-
+
首页
Windows日志分析
## 概述 Windows 日志审计分析是通过收集、筛选、解读 Windows 系统生成的日志文件,**追踪系统活动、定位故障根源、检测恶意行为**的核心手段。 ## 分类 | 日志类型 | 描述 | | ------------ | ------------------------------------------------------------ | | 系统日志 | 系统日志是记录系统中硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 | | 设备日志 | 由路由器、交换机、防火墙、负载均衡器等网络设备生成,记录网络流量、连接状态、访问控制等活动,核心用于网络安全和故障排查。 | | 应用程序日志 | 由各类软件(数据库、Web 服务器、业务系统等)生成,记录应用的运行状态、用户操作、错误信息,是定位应用故障和分析业务行为的关键。 | | 终端设备日志 | 由客户端设备(PC、手机、IoT 设备)生成,记录终端的硬件状态、软件操作、安全行为,核心用于终端管理和恶意行为检测。 | | 云服务日志 | 由云平台(阿里云、AWS、腾讯云)生成,记录云资源的创建、操作、状态变更,用于云环境的运维和合规审计。 | ## 存储位置 Windows 日志以 .evtx 格式(XML 结构)存储在系统目录中,默认路径: ```txt %SystemRoot%\System32\winevt\Logs # %SystemRoot% 通常是 C:\Windows ``` 常见日志文件包括: - Security.evtx:安全日志(最重要,记录账户、权限、登录等安全相关事件); - System.evtx:系统日志(记录硬件、驱动、服务等系统级事件); - Application.evtx:应用程序日志(记录软件运行错误、警告等); - Setup.evtx:系统安装日志(记录系统更新、软件安装过程); - ForwardedEvents.evtx:域环境中转发的远程日志(多台机器日志集中存储)。  ## 事件查看器 cmd中输入 eventvwr.msc → 回车(管理员权限可查看所有日志)。  重点关注Windows日志中的安全日志。  打开完整的日志路径:在本地组策略中更改本地策略的审核策略。   ## 核心类型 不同类型的日志对应不同场景,审计时需针对性关注: | 日志类型 | 核心记录内容 | 审计用途示例 | | ------------ | ------------------------------------------------------------ | ------------------------------------ | | 安全日志 | 账户登录 / 注销、账户创建 / 删除、权限变更、文件访问、组策略修改、防火墙规则变更 | 检测暴力破解、恶意账户创建、权限提升 | | 系统日志 | 服务启动 / 停止、驱动加载失败、系统崩溃、硬件故障、时间同步异常 | 排查系统启动失败、服务异常问题 | | 应用程序日志 | 软件崩溃(如 Office 错误)、数据库连接失败、第三方服务报错(如 IIS 日志) | 定位软件运行故障、兼容性问题 | ## 关键属性 每条日志事件包含多个属性,是分析的核心依据。 | 属性 | 含义与作用 | | ------- | ------------------------------------------------------------ | | 事件 ID | 唯一标识事件类型(如 4625 = 登录失败,4720 = 创建用户),是快速定位事件的关键 | | 级别 | 事件严重程度:信息(普通活动)、警告(潜在问题)、错误(功能故障)、关键(系统崩溃) | | 来源 | 生成事件的组件(如 “Microsoft-Windows-Security-Auditing” 对应安全审计) | | 用户 | 触发事件的账户(如 “NT AUTHORITY\SYSTEM” 是系统账户,“DOMAIN\admin” 是域管理员) | | 计算机 | 生成日志的机器名称(域环境中需确认机器身份) | | 描述 | 事件的详细说明(如登录失败原因、账户变更内容) | | 时间戳 | 事件发生时间(需确保系统时间同步,否则影响多日志关联分析) | ## 事件ID Windows 日志中的 **事件 ID(Event ID)** 是标识事件类型的唯一数字,不同 ID 对应特定的系统行为(如登录、账户变更、服务启动等)。 安全日志(`Security.evtx`)记录与账户、权限、安全策略相关的事件。 > **登录 / 注销相关事件(检测账户登录异常)** | 事件 ID | 事件描述 | 审计用途 | | ------- | ------------------------------ | ------------------------------------------------------------ | | 4624 | 登录成功 | 查看 “登录类型”(如 2 = 本地登录、3 = 网络登录、10 = 远程桌面 RDP)、来源 IP、登录账户,识别陌生 IP 或异常登录时间。 | | 4625 | 登录失败 | 分析失败原因(如 “密码错误”“账户锁定”)、来源 IP,多次出现可能是暴力破解(尤其针对管理员账户)。 | | 4634 | 注销成功 | 结合登录事件,判断账户会话是否正常结束。 | | 4647 | 用户主动注销 | 区分 “用户主动注销” 和 “异常断开连接”。 | | 4779 | 远程桌面(RDP)会话断开 / 重连 | 检测非授权的远程桌面访问(如陌生设备的 RDP 连接)。 | | 4800 | 工作站被锁定 | 普通事件,若频繁锁定可能是用户离开或异常操作。 | | 4801 | 工作站被解锁 | 结合锁定事件,确认账户是否被他人解锁。 | > **账户管理相关事件(检测恶意账户操作)** | 事件 ID | 事件描述 | 审计用途 | | ------- | ------------------ | ------------------------------------------------------------ | | 4720 | 创建用户账户 | 警惕陌生账户(如 `backdoor$` 等带 `$` 的隐藏账户),确认是否为授权创建。 | | 4722 | 启用用户账户 | 被长期禁用的账户(如 `Guest`)突然启用,可能是恶意利用。 | | 4723 | 尝试修改账户密码 | 非授权的密码修改(如管理员账户密码被篡改)。 | | 4724 | 成功修改账户密码 | 结合 4723,确认密码修改是否合法。 | | 4726 | 删除用户账户 | 关键账户(如管理员)被删除需紧急核查。 | | 4738 | 用户账户属性被修改 | 如账户描述、密码策略、SID 等被篡改,可能是权限提升的前兆。 | | 4780 | 账户名称被修改 | 警惕管理员账户被改名(如 `Administrator` 改为 `Admin123` 躲避监控)。 | > **组与权限变更事件(检测权限提升)** | 事件 ID | 事件描述 | 审计用途 | | ------- | ---------------------------- | ------------------------------------------------------------ | | 4732 | 将用户添加到安全组 | 普通用户被添加到 `Administrators`(本地管理员组)或 `Domain Admins`(域管理员组),属于典型的权限提升。 | | 4733 | 从安全组中移除用户 | 关键用户(如管理员)被移出管理员组,可能是权限被恶意剥夺。 | | 4756 | 将用户添加到通用组(域环境) | 域环境中,普通用户被添加到高权限通用组(如 `Enterprise Admins`)需警惕。 | | 4672 | 分配了 “特权登录” 权限 | 账户获得特权登录权限(如 `SeDebugPrivilege`),可能用于恶意程序提权。 | | 4698 | 创建计划任务 | 恶意程序常通过创建计划任务实现持久化,需检查任务的执行路径和触发条件。 | | 4702 | 计划任务被修改 | 现有任务(如系统任务)被篡改,可能被植入恶意操作。 | > **对象访问与策略变更事件(检测敏感资源操作)** | 事件 ID | 事件描述 | 审计用途 | | ------- | ------------------------------- | ------------------------------------------------------------ | | 4663 | 尝试访问对象(文件 / 注册表等) | 需结合 “对象名称”(如 `C:\Windows\System32\config\SAM` 数据库)和 “访问类型”(如 “修改”“删除”),检测敏感文件被非授权访问。 | | 4656 | 打开对象(文件 / 注册表等) | 前置事件,4663 的触发前提,可用于追踪访问敏感资源的尝试。 | | 4719 | 系统审计策略被修改 | 恶意程序可能关闭审计策略躲避追踪,需确认修改是否授权。 | | 4886 | 注册表项被修改 | 关键注册表路径(如 `HKLM\Run` 启动项)被修改,可能是恶意启动项植入。 | | 5140 | 网络共享对象被访问 | 检测敏感共享文件夹(如 `C$` 隐藏共享)被陌生 IP 访问。 | > **日志与系统安全事件(检测日志篡改)** | 事件 ID | 事件描述 | 审计用途 | | ------- | ------------------------ | ------------------------------------------------------------ | | 1102 | 安全日志被清除 | 典型的恶意行为(攻击者清除痕迹),需立即排查系统是否被入侵。 | | 4688 | 进程创建 | 记录新进程的路径和启动参数,可用于检测恶意程序(如 `C:\Temp\malware.exe`)。 | | 4689 | 进程退出 | 结合 4688,分析进程的生命周期(如恶意程序是否快速启动后退出)。 | | 5038 | Windows 防火墙规则被修改 | 恶意程序可能添加防火墙规则开放端口(如 3389、4444),便于远程控制。 | ## 示例 > 筛选日志  可通过事件ID进行筛选。  > **清除日志事件:1102** 在日志的最后一定有一个1102。  如果没有,则可能被日志覆盖了,默认策略下当日志量超过最大值时,旧事件就会被覆盖。  > **出入站连接记录:5156**   问:攻击者在什么时候连接了失陷资产的RDP。 得到线索然后进行搜索: - 恶意进程名 - 恶意IP地址 - 攻击者入侵的时间 例如:知道了恶意的IP地址。   > **账户管理记录:4720、4726** 4720创建用户账户、4726删除用户账户。 ```txt C:\Windows\system32>net user /add mathias 123 命令成功完成。 C:\Windows\system32>net localgroup administrators mathias /add 命令成功完成。 ```  可能问的问题: - 攻击者在攻击时间范围内创建了什么账户? - 攻击者创建用户的时间? - 攻击者在什么时候第一次登录了恶意账户。(可能需要查看事件ID 5156,端口3389、445、5984-winRM) ```txt C:\Windows\system32>net user /del mathias 命令成功完成。 ```  > **安全组管理记录:4732、4733** 4732查看攻击者将创建的用户加入到了哪个用户组,4733则是移除。   问题: - 在什么时候mathias账户具备远程登录权限。 > **用户登录注销记录:4624、4634** 通过windows记录的4624以及4634事件,就可以查看到什么用户在什么时候发生了登录以及注销的事件。   > **用户登录失败:4625**   > **计划任务** 4698 计划任务已创建、4699 计划任务已删除、4700 计划任务已启用、4701 计划任务已停用、4702 计划任务已更。   > **进程创建及终止记录:事件ID-4688、4689**     ## 常见日志事件ID ```txt 审计目录服务访问 4768 Kerberos身份验证服务 4934 ActiveDirectory对象的属性被复制 4935 复制失败开始 4936 复制失败结束 5136 目录服务对象已修改 5137 目录服务对象已创建 5138 目录服务对象已删除 5139 目录服务对象已经移动 5141 目录服务对象已删除 4932 命名上下文的AD的副本同步已经开始 4933 命名上下文的AD的副本同步已经结束 审计用户事件 4624 账号登陆成功 4625 账号登陆失败 4634 帐户被注销 4647 用户发起注销 4624 帐户已成功登录 4625 帐户登录失败 4648 试图使用明确的凭证登录 4672 授予特殊权限 4675 SID被过滤 4649 发现重放攻击 4719 系统审计策略修改 4720 创建用户 4726 删除用户 4728 将成员添加到启用安全的全局组中 4729 将成员从安全组移除 4732 将成员添加到启用安全的本地组中 4733 将成员从启用安全的本地组移除 4756 将成员添加到启用安全的通用组中 4757 将成员从启用安全的通用组中移除 4778 会话被重新连接到WindowStation 4779 会话断开连接到WindowStation 4800 工作站被锁定 4801 工作站被解锁 4802 屏幕保护程序启用 4803 屏幕保护程序被禁用 5378 所要求的凭证代表是政策所不允许的 5632 要求对无线网络进行验证 5633 要求对有线网络进行验证 审计对象访问 5140 网络共享对象被访问 4664 试图创建一个硬链接 4985 交易状态已经改变 5051 文件已被虚拟化 5031 Windows防火墙服务阻止一个应用程序接收网络中的入站连接 4698 计划任务已创建 4699 计划任务已删除 4700 计划任务已启用 4701 计划任务已停用 4702 计划任务已更新 4657 注册表值被修改 5039 注册表项被虚拟化 4660 对象已删除 4663 试图访问一个对象 审计政策变化 4715 对象上的审计政策(SACL)已经更改 4719 系统审计政策已经更改 4902 Per user审核政策表已经创建 4906 CrashOnAuditFail值已经变化 4907 对象的审计设置已经更改 4706 创建到域的新信任 4707 到域的信任已经删除 4713 Kerberos政策已更改 4716 信任域信息已经修改 4717 系统安全访问授予帐户 4718 系统安全访问从帐户移除 4864 名字空间碰撞被删除 4865 信任森林信息条目已添加 4866 信任森林信息条目已删除 4867 信任森林信息条目已取消 4704 用户权限已分配 4705 用户权限已移除 4714 加密数据复原政策已取消 4944 当开启WindowsFirewall时下列政策启用 4945 当开启WindowsFirewall时列入一个规则 4946 对Windows防火墙例外列表进行了修改,添加规则 4947 对Windows防火墙例外列表进行了修改,规则已修改 4948 对Windows防火墙例外列表进行了修改,规则已删除 4949 Windows防火墙设置已恢复到默认值 4950 Windows防火墙设置已更改 4951 因为主要版本号码不被Windows防火墙承认,规则已被忽视 4952 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分 4953 因为Windows防火墙不能解析规则,规则被忽略 4954 Windows防火墙组政策设置已经更改,将使用新设置 4956 Windows防火墙已经更改主动资料 4957 Windows防火墙不适用于以下规则 4958 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则: 6144 组策略对象中的安全政策已经成功运用 6145 当处理组策略对象中的安全政策时发生一个或者多个错误 4670 对象的权限已更改 审计特权使用 4672 给新登录分配特权 4673 要求特权服务 4674 试图对特权对象尝试操作 审计系统事件 5024 Windows防火墙服务已成功启动 5025 Windows防火墙服务已经被停止 5027 Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策 5028 Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策 5029 Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策 5030 Windows防火墙服务无法启动 5032 Windows防火墙无法通知用户它阻止了接收入站连接的应用程序 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已经停止 5035 Windows防火墙驱动程序未能启动 5037 Windows防火墙驱动程序检测到关键运行错误,终止。 4608 Windows正在启动 4609 Windows正在关机 4616 系统时间被改变 4621 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录 4697 系统中安装服务器 4618 监测安全事件样式已经发生 其它事件 1102 清理审计日志 1074 计算机的开机、关机、重启的时间以及原因和注释 ```
毛林
2025年10月14日 22:47
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码