Windows日志记录系统事件的日志
Posted NUIST数字取证中心
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows日志记录系统事件的日志相关的知识,希望对你有一定的参考价值。
文章目录
一、概要
Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。
安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于 调查人员而言,更有帮助。
其他日志:
除了应用程序日志、系统日志和安全日志以外,一些特殊的系统服务配置可能也会产生其他日志文件,例如Powershell日志、WWW日志、FTP日志,DNS服务器日志等。
查看记录系统事件的日志:
WIN+R打开运行框,运行eventvwr.msc命令,打开事件查看器
- 查看windows 日志,分析windows 日志时, 主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。
二、Windows日志介绍
2.1 应用程序日志
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
默认位置:C:\\Windows\\System32\\Winevt\\Logs\\Application.evtx
2.2 系统日志
系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
默认位置:C:\\Windows\\System32\\Winevt\\Logs\\System.evtx
2.3 安全日志
安全日志记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置:C:\\Windows\\System32\\Winevt\\Logs\\Security.evtx
三、查看与分析日志
事件ID是区分系统事件的一个重要字段,在事件查看器中可以通过事件ID筛选日志(本文将在第四章对事件ID进行总计梳理)
以4624(登陆成功)事件为例,看一下日志信息:
查看系统登录日志时,重点关注以下字段信息。
- 事件ID:4624(登录成功)和4625(登录失败)。
- 登录类型:根据登录类型分析登录操作来源。
- 账户名:登录操作时使用的账户名。
- 源网络地址:登录操作来源IP。
- 进程信息:登录操作调用的进程。
四、常见事件ID
Windows安全事件最常用的事件ID:
| 事件ID | 说明 | 备注 |
|---|---|---|
| 1074 | 计算机开机、关机、重启的时间、原因、注释 | 查看异常关机情况 |
| 1102 | 清理审计日志 | 发现篡改事件日志的用户 |
| 4624 | 登录成功 | 检测异常的未经授权的登录 |
| 4625 | 登陆失败 | 检测可能的暴力密码攻击 |
| 4632 | 成员已添加到启用安全性的本地组 | 检测滥用授权用户行为 |
| 4634 | 注销用户 | |
| 4648 | 试图使用显式凭据登录 | |
| 4657 | 注册表值被修改 | |
| 4663 | 尝试访问对象 | 检测未经授权访问文件和文件夹的行为。 |
| 4672 | administrator超级管理员登录(被赋予特权) | |
| 4698 | 计划任务已创建 | |
| 4699 | 计划任务已删除 | |
| 4700 | 启用计划任务 | |
| 4701 | 禁用计划任务 | |
| 4702 | 更新计划任务 | |
| 4720 | 创建用户 | |
| 4726 | 删除用户 | |
| 4728 | 成员已添加到启用安全性的全局组 | 确保添加安全组成员的资格信息 |
| 4740 | 锁定用户账户 | 检测可能的暴力密码攻击 |
| 4756 | 成员已添加到启用安全性的通用组 | |
| 6005 | 表示日志服务已经启动(表明系统正常启动了) | 查看系统启动情况 |
| 6006 | 表示日志服务已经停止(如果在某天没看到6006事件,说明出现关机异常事件了) | 查看异常关机情况 |
| 6009 | 非正常关机(ctrl+alt+delete关机) |
4.1 登录事件
| 事件ID | 说明 |
|---|---|
| 4624 | 登陆成功 |
| 4625 | 登录失败 |
| 4634 | 用户注销 |
| 4647 | 用户启动了注销过程。 |
| 4648 | 用户已成功使用显式凭据登录到计算机,而该用户已以其他用户身份登录。 |
| 4779 | 用户在未注销的情况下断开了终端服务器会话的连接。 |
4.1.1 4624登陆成功
登陆成功事件中将包含以下信息,其中需要特别关注账户名称、登陆类型、进程名称、源网络地址:
已成功登录帐户。
使用者:
安全 ID: SYSTEM
帐户名称: LAPTOP-TU29M93M$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录信息:
登录类型: 5
受限制的管理员模式: -
虚拟帐户: 否
提升的令牌: 是
模拟级别: 模拟
新登录:
安全 ID: SYSTEM
帐户名称: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
链接的登录 ID: 0x0
网络帐户名称: -
网络帐户域: -
登录 GUID: 00000000-0000-0000-0000-000000000000
进程信息:
进程 ID: 0x4c8
进程名称: C:\\Windows\\System32\\services.exe
网络信息:
工作站名称: -
源网络地址: -
源端口: -
详细的身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
- “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
- “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。
- “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。
- “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空
- “模拟级别”字段指示登录会话中的进程可以模拟到的程度。
- “身份验证信息”字段提供有关此特定登录请求的详细信息。
- “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指示哪些中间服务参与了此登录请求。
-“数据包名”指示在 NTLM 协议中使用了哪些子协议。
-“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。
在登录信息中可以根据登陆类型来区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。以下列举了常见的登陆类型:
| 登录类型 | 登录标题 | 说明 | 备注 |
|---|---|---|---|
| 2 | 交互 | 本地登录 | 控制台登录; RUNAS(没带/Netonly参数) 硬件远程控制解决方案(如网络** KVM **或远程访问/服务器中的无人照看卡) IIS 基本身份验证(低于 IIS 6.0) |
| 3 | 网络 | 从网络登录到此计算机 | 例如连接共享文件或共享打印机 |
| 4 | 批处理 | 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户直接干预。 | |
| 5 | 服务 | 服务控制管理器已启动服务。 | 开机之后通常会伴随许多服务类型的登录 |
| 7 | 解除锁定 | 已解锁此工作站 | 睡眠模式之后的登录 |
| 8 | NetworkCleartext | 从网络登录到此计算机的用户。 用户的密码以未经过哈希处理的形式传递给验证包。 内置的身份验证将所有哈希凭证打包,然后再通过网络发送它们。 凭据不会以纯文本(也称为明文)形式遍历网络。 | IIS 基本身份验证(IIS 6.0 和更高版本); Windows PowerShell(具有 CredSSP) |
| 9 | NewCredentials | 调用方克隆了其当前密码并为出站连接指定了新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。 | 当你使用带**/Netonly**参数的RUNAS命令运行一个程序时(没带/Netonly参数的RUNAS命令被标记为2) |
| 10 | RemoteInteractive | 使用终端服务或远程桌面远程登录到此计算机的用户。 | 远程登录 |
| 11 | CachedInteractive | 使用存储在计算机上的本地网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据。 |
更多关于4624登录成功的详细字段解析请参阅https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4624
4.1.2 4625登陆失败
登陆失败事件中将包含以下信息,其中需要特别关注账户名称、登陆类型、失败信息、调用方进程名称、源网络地址:
帐户登录失败。
使用者:
安全 ID: SYSTEM
帐户名: LAPTOP-TU29M93M$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录类型: 2
登录失败的帐户:
安全 ID: NULL SID
帐户名: JSSLRKS
帐户域: LAPTOP-TU29M93M
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xC000006D
子状态: 0xC000006A
进程信息:
调用方进程 ID: 0x4e8
调用方进程名: C:\\Windows\\System32\\svchost.exe
网络信息:
工作站名: LAPTOP-TU29M93M
源网络地址: 127.0.0.1
源端口: 0
详细身份验证信息:
登录进程: User32
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
- “使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
- “登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。
- “进程信息”字段表明系统上的哪个帐户和进程请求了登录。
- “网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
- “身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
4625登陆失败事件的子状态码表示登陆失败的原因,在此整理常见的子状态码:
| 子状态码 | 描述 |
|---|---|
| 0XC000005E | 当前没有可用于服务登录请求的登录服务器。 |
| 0xC0000064 | 用户使用拼写错误或错误用户帐户进行登录 |
| 0xC000006A | 用户使用拼写错误或错误密码进行登陆 |
| 0XC000006D | 原因可能是用户名或身份验证信息错误 |
| 0XC000006E | 指示引用的用户名和身份验证信息有效,但某些用户帐户限制阻止了成功的身份验证(例如时间限制)。 |
| 0xC000006F | 用户在授权时间之外登录 |
| 0xC0000070 | 用户从未经授权的工作站登录 |
| 0xC0000071 | 用户使用过期密码登录 |
| 0xC0000072 | 用户登录到管理员已禁用的帐户 |
| 0XC00000DC | 指示 Sam 服务器处于错误状态,无法执行所需操作。 |
| 0XC0000133 | DC 和其他计算机之间的时钟完全不同步 |
| 0XC000015B | 此计算机上尚未授予用户请求的登录类型(也称为_登录权限_) |
| 0XC000018C | 登录请求失败,因为主域和受信任域之间的信任关系失败。 |
| 0XC0000192 | 尝试登录,但 Netlogon 服务未启动。 |
| 0xC0000193 | 用户使用过期帐户登录 |
| 0XC0000224 | 用户需要在下次登录时更改密码 |
| 0XC0000225 | 很明显,这是 Windows 中的错误而非风险 |
| 0xC0000234 | 帐户已锁定的用户登录 |
| 0XC00002EE | 失败原因:登录时出错 |
| 0XC0000413 | 登录失败:登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证。 |
| 0x0 | 状态正常。 |
更多关于4625登录失败的详细字段解析请参阅https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4625
4.2 特权使用
| 事件ID | 说明 |
|---|---|
| 4672 | 给新登录分配特权 |
| 4673 | 要求特权服务 |
| 4674 | 试图对特权对象尝试操作 |
4.3 账户管理事件
帐户管理事件的示例包括:
- 创建、更改或删除用户帐户或组。
- 用户帐户已重命名、禁用或启用。
- 设置或更改密码。
| 事件ID | 说明 |
|---|---|
| 4720 | 已创建用户帐户。 |
| 4723 | 用户密码已更改。 |
| 4724 | 设置了用户密码。 |
| 4726 | 已删除用户帐户。 |
| 4727 | 创建了一个全局组。 |
| 4728 | 已将成员添加到全局组。 |
| 4729 | 从全局组中删除了一个成员。 |
| 4730 | 已删除全局组。 |
| 4731 | 创建了一个新的本地组。 |
| 4732 | 一个成员已添加到本地组。 |
| 4733 | 从本地组中删除了一个成员。 |
| 4734 | 已删除本地组。 |
| 4735 | 本地组帐户已更改。 |
| 4737 | 已更改全局组帐户。 |
| 4738 | 用户帐户已更改。 |
| 4739 | 修改了域策略。 |
| 4740 | 用户帐户已自动锁定。 |
| 4741 | 已创建计算机帐户。 |
| 4742 | 计算机帐户已更改。 |
| 4743 | 已删除计算机帐户。 |
| 4744 | 创建了禁用了安全性的本地安全组。 注意: 正式名称中的SECURITY_DISABLED意味着无法使用此组在访问检查中授予权限 |
| 4745 | 已更改禁用安全性的本地安全组。 |
| 4746 | 已将一名成员添加到安全禁用的本地安全组。 |
| 4747 | 从安全禁用的本地安全组中删除了一名成员。 |
| 4748 | 已删除安全禁用的本地组。 |
| 4749 | 已创建安全禁用的全局组。 |
| 4750 | 已更改安全禁用的全局组。 |
| 4751 | 已将一名成员添加到安全禁用的全局组。 |
| 4752 | 成员已从安全禁用的全局组中删除。 |
| 4753 | 已删除安全禁用的全局组。 |
| 4754 | 已创建启用安全性的通用组。 |
| 4755 | 已更改启用安全的通用组。 |
| 4756 | 成员已添加到已启用安全的通用组。 |
| 4757 | 成员已从启用安全的通用组中删除。 |
| 4758 | 已删除已启用安全性的通用组。 |
| 4759 | 已创建安全禁用的通用组。 |
| 4760 | 已更改安全禁用的通用组。 |
| 4761 | 成员已添加到安全禁用的通用组。 |
| 4762 | 成员已从安全禁用的通用组中删除。 |
| 4763 | 已删除安全禁用的通用组。 |
| 4764 | 组类型已更改。 |
| 4780 | 设置管理组成员的安全描述符。 |
| 685 | 设置管理组成员的安全描述符。 注意: 后台线程每 60 分钟在域控制器上搜索 (管理组的所有成员,例如域、企业和架构管理员) ,并在其上应用固定的安全描述符。 记录此事件。 |
4.4 账户登录事件
在域控制器上对域用户帐户进行身份验证时,将生成帐户登录事件, 事件记录在域控制器的安全日志中。
当本地用户在本地计算机上进行身份验证时,将生成登录事件。 事件记录在本地安全日志中。
| 事件ID | 说明 |
|---|---|
| 672 | 已成功颁发和验证身份验证服务 (AS) 票证。 |
| 673 | 已授予 (TGS) 票证的票证授予服务。 |
| 674 | 安全主体续订了 AS 票证或 TGS 票证。 |
| 675 | 预身份验证失败。 当用户键入不正确的密码时,密钥分发中心 (KDC) 上生成此事件。 |
| 676 | 身份验证票证请求失败。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 677 | 未授予 TGS 票证。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 678 | 已成功映射到域帐户的帐户。 |
| 681 | 登录失败。 尝试了域帐户登录。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 682 | 用户已重新连接到断开连接的终端服务器会话。 |
| 683 | 用户在未注销的情况下断开终端服务器会话的连接。 |
5.2 事件ID汇总
(参考:https://blog.csdn.net/qq_45825991/article/details/115577680):
EVENT_ID 安全事件信息
1100 ----- 事件记录服务已关闭
1101 ----- 审计事件已被运输中断。
1102 ----- 审核日志已清除
1104 ----- 安全日志现已满
1105 ----- 事件日志自动备份
1108 ----- 事件日志记录服务遇到错误
4608 ----- Windows正在启动
4609 ----- Windows正在关闭
4610 ----- 本地安全机构已加载身份验证包
4611 ----- 已向本地安全机构注册了受信任的登录进程
4612 ----- 为审计消息排队分配的内部资源已经用尽,导致一些审计丢失。
4614 ----- 安全帐户管理器已加载通知包。
4615 ----- LPC端口使用无效
4616 ----- 系统时间已更改。
4618 ----- 已发生受监视的安全事件模式
4621 ----- 管理员从CrashOnAuditFail恢复了系统
4622 ----- 本地安全机构已加载安全包。
4624 ----- 帐户已成功登录
4625 ----- 帐户无法登录
4626 ----- 用户/设备声明信息
4627 ----- 集团会员信息。
4634 ----- 帐户已注销
4646 ----- IKE DoS防护模式已启动
4647 ----- 用户启动了注销
4648 ----- 使用显式凭据尝试登录
4649 ----- 检测到重播攻击
4650 ----- 建立了IPsec主模式安全关联
4651 ----- 建立了IPsec主模式安全关联
4652 ----- IPsec主模式协商失败
4653 ----- IPsec主模式协商失败
4654 ----- IPsec快速模式协商失败
4655 ----- IPsec主模式安全关联已结束
4656 ----- 请求了对象的句柄
4657 ----- 注册表值已修改
4658 ----- 对象的句柄已关闭
4659 ----- 请求删除对象的句柄
4660 ----- 对象已删除
4661 ----- 请求了对象的句柄
4662 ----- 对对象执行了操作
4663 ----- 尝试访问对象
4664 ----- 试图创建一个硬链接
4665 ----- 尝试创建应用程序客户端上下文。
4666 ----- 应用程序尝试了一个操作
4667 ----- 应用程序客户端上下文已删除
4668 ----- 应用程序已初始化
4670 ----- 对象的权限已更改
4671 ----- 应用程序试图通过TBS访问被阻止的序号
4672 ----- 分配给新登录的特权
4673 ----- 特权服务被召唤
4674 ----- 尝试对特权对象执行操作
4675 ----- SID被过滤掉了
4688 ----- 已经创建了一个新流程
4689 ----- 一个过程已经退出
4690 ----- 尝试复制对象的句柄
4691 ----- 请求间接访问对象
4692 ----- 尝试备份数据保护主密钥
4693 ----- 尝试恢复数据保护主密钥
4694 ----- 试图保护可审计的受保护数据
4695 ----- 尝试不受保护的可审计受保护数据
4696 ----- 主要令牌已分配给进程
4697 ----- 系统中安装了一项服务
4698 ----- 已创建计划任务
4699 ----- 计划任务已删除
4700 ----- 已启用计划任务
4701 ----- 计划任务已禁用
4702 ----- 计划任务已更新
4703 ----- 令牌权已经调整
4704 ----- 已分配用户权限
4705 ----- 用户权限已被删除
4706 ----- 为域创建了新的信任
4707 ----- 已删除对域的信任
4709 ----- IPsec服务已启动
4710 ----- IPsec服务已禁用
4711 ----- PAStore引擎(1%)
4712 ----- IPsec服务遇到了潜在的严重故障
4713 ----- Kerberos策略已更改
4714 ----- 加密数据恢复策略已更改
4715 ----- 对象的审核策略(SACL)已更改
4716 ----- 可信域信息已被修改
4717 ----- 系统安全访问权限已授予帐户
4718 ----- 系统安全访问已从帐户中删除
4719 ----- 系统审核策略已更改
4720 ----- 已创建用户帐户
4722 ----- 用户帐户已启用
4723 ----- 尝试更改帐户的密码
4724 ----- 尝试重置帐户密码
4725 ----- 用户帐户已被禁用
4726 ----- 用户帐户已删除
4727 ----- 已创建启用安全性的全局组
4728 ----- 已将成员添加到启用安全性的全局组中
4729 ----- 成员已从启用安全性的全局组中删除
4730 ----- 已删除启用安全性的全局组
4731 ----- 已创建启用安全性的本地组
4732 ----- 已将成员添加到启用安全性的本地组
4733 ----- 成员已从启用安全性的本地组中删除
4734 ----- 已删除已启用安全性的本地组
4735 ----- 已启用安全性的本地组已更改
4737 ----- 启用安全性的全局组已更改
4738 ----- 用户帐户已更改
4739 ----- 域策略已更改
4740 ----- 用户帐户已被锁定
4741 ----- 已创建计算机帐户
4742 ----- 计算机帐户已更改
4743 ----- 计算机帐户已删除
4744 ----- 已创建禁用安全性的本地组
4745 ----- 已禁用安全性的本地组已更改
4746 ----- 已将成员添加到已禁用安全性的本地组
4747 ----- 已从安全性已禁用的本地组中删除成员
4748 ----- 已删除安全性已禁用的本地组
4749 ----- 已创建一个禁用安全性的全局组
4750 ----- 已禁用安全性的全局组已更改
4751 ----- 已将成员添加到已禁用安全性的全局组中
4752 ----- 成员已从禁用安全性的全局组中删除
4753 ----- 已删除安全性已禁用的全局组
4754 ----- 已创建启用安全性的通用组
4755 ----- 启用安全性的通用组已更改
4756 ----- 已将成员添加到启用安全性的通用组中
4757 ----- 成员已从启用安全性的通用组中删除
4758 ----- 已删除启用安全性的通用组
4759 ----- 创建了一个安全禁用的通用组
4760 ----- 安全性已禁用的通用组已更改
4761 ----- 已将成员添加到已禁用安全性的通用组中
4762 ----- 成员已从禁用安全性的通用组中删除
4763 ----- 已删除安全性已禁用的通用组
4764 ----- 组类型已更改
4765 ----- SID历史记录已添加到帐户中
4766 ----- 尝试将SID历史记录添加到帐户失败
4767 ----- 用户帐户已解锁
4768 ----- 请求了Kerberos身份验证票证(TGT)
4769 ----- 请求了Kerberos服务票证
4770 ----- 更新了Kerberos服务票证
4771 ----- Kerberos预身份验证失败
4772 ----- Kerberos身份验证票证请求失败
4773 ----- Kerberos服务票证请求失败
4774 ----- 已映射帐户以进行登录
4775 ----- 无法映射帐户以进行登录
4776 -以上是关于Windows日志记录系统事件的日志的主要内容,如果未能解决你的问题,请参考以下文章