应急响应基础(三)——Windows日志分析

2023-10-30

Windows日志分析

一、Windows事件日志简介

1、Windows事件日志

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

系统日志

Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。

日志的默认位置为:C:\Windows\System32\winevt\Logs\System.evtx

应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

日志的默认位置为:C:\Windows\System32\winevt\Logs\Application.evtx

安全日志

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

日志的默认位置为:C:\Windows\System32\winevt\Logs\Security.evtx

系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

2、查看系统日志

1> "开始"菜单上,依次指向“所有程序”“管理工具”然后单击“事件查看器”;

2> win+R,输入eventvwr.msc,直接进入事件查看器;

3、审核策略

系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

二、事件日志分析

1、事件类型

Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件类型

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

应急响应基础(三)——Windows日志分析 的相关文章

  • 第164天:应急响应-挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复

    知识点 知识点 网页篡改与后门攻击防范应对指南 主要需了解 异常特征 处置流程 分析报告等 主要需了解 日志存储 Webshell检测 分析思路等 掌握 中间件日志存储 日志格式内容介绍 IP UA头 访问方法 请求文件 状态码等 Webs
  • 网安态势感知详细介绍

    定义 态势感知 Situation Awareness SA 能够检测出超过20大类的云上安全风险 包括DDoS攻击 暴力破解 Web攻击 后门木马 僵尸主机 异常行为 漏洞攻击 命令与控制等 利用大数据分析技术 态势感知可以对攻击事件 威
  • 应急响应基础(三)——Windows日志分析

    Windows日志分析 一 Windows事件日志简介 1 Windows事件日志 Windows系统日志是记录系统中硬件 软件和系统问题的信息 同时还可以监视系统中发生的事件 用户可以通过它来检查错误发生的原因 或者寻找受到攻击时攻击者留
  • 应急响应--windows主机入侵排查思路

    在之前的工作和护网期间 工程师们在实施主机入侵入侵排查工作的时候 常常会面临时间紧 任务急 需要排查的主机数量众多的情况 为了确保实施人员在有限的时间范围内 可以高效且保证质量的前提下完成主机入侵排查工作 结合大佬们的叙述和自己的体会作如下
  • 记一次Mac挖矿病毒的处置

    title 记一次Mac挖矿病毒的处置 前言 网络安全圈一年一度的叉叉行动的前期准备过程中 在客户现场进行失陷主机监测和处置 通过态势感知发现某台终端主机有每五分钟向矿池 43 249 204 183 8888 发起一次连接请求的情况 态势
  • 【应急响应】战中溯源反制&对抗上线CS&Goby&蚁剑&Sqlmap等安全工具

    文章目录 溯源反制 Webshell工具 Antsword 正常情况下 PHP后门上线 发现PHP后门 修改webshell进行反制 溯源反制 SQL注入工具 SQLMAP 溯源反制 漏洞扫描工具 Goby Awvs 溯源反制 远程控制工具
  • 挖矿病毒攻击的排查处置手册

    一 背景 在用户不知情或未经允许的情况下 占用系统资源和网络资源进行挖矿 影响用户的网络和资源 从而获取虚拟币牟利 为了帮助应对恶意挖矿程序攻击 发现和清除恶意挖矿程序 防护和避免感染恶意挖矿程序 整理了如下针对挖矿活动相关的现状分析和检测
  • 操作系统日志收集与分析

    一 Windows日志收集与分析 在运维工作中 如若windows服务器被入侵 往往需要检索和分析相应的安全日志 除了安全设备 系统自带的日志就是取证的关键材料 但是此类日志数量庞大 需要高效分析windows安全日志 提取出我们想要的有用
  • 2023年网络安全比赛--网络安全应急响应中职组(超详细)

    一 竞赛时间 180分钟 共计3小时 二 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 1 找出被黑客修改的系统别名 并将倒数第二个别名作为Flag值提交 2 找出系统中被植入的后门用户删除掉 并将后门用户的账号作为Flag值提交
  • 2023年网络安全比赛--网络安全事件响应中职组(超详细)

    一 竞赛时间 180分钟 共计3小时 二 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 1 黑客通过网络攻入本地服务器 通过特殊手段在系统中建立了多个异常进程 找出启动异常进程的脚本 并将其绝对路径作为Flag值提交 2 黑客通过
  • Windows应急响应

    临近冬奥 残奥 发一篇Windows的应急响应 希望对大家有所帮助 下一篇会发Linux的应急响应 目录 Part1 前期交互 Part2 主机排查 Part3 工具篇 Part1 前期交互 这个阶段主要是先找客户了解主机的基本情况 如 主
  • 配置类安全问题学习小结

    目录 一 前言 二 漏洞类型 目录 一 前言 二 漏洞类型 2 1 Strict Transport Security Not Enforced 2 2 SSL Certificate Cannot Be Trusted 2 3 SSL A
  • Windows应急响应

    账户排查 账户排查主要包含以下几个维度 登录服务器的途径 弱口令 可疑账号 新增账号 隐藏账号 克隆账号 服务器是否存在被远程登录的途径 3389 smb 445 http ftp 数据库 中间件 弱口令排查维度与上述服务器登录一样 弱口令
  • 最实用的应急响应笔记思路小结

    0x00 事件应急响应的流程分析 事件整个类型大致归类于 事件表现 信息收集 确认攻击类型 事件追查 修复 1 事件的表现 网站类型 被篡改 信息丢失 乱码等 文件类型 被篡改 丢失 泄露等 系统类型 系统卡顿 CPU爆满 服务宕机等 流量
  • Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID

    时间 2018 12 12 题目 Windows中如何查看日志 如查看远程登陆的IP地址 以及常用日志ID 概述 在Windows中可以使用 事件查看器 来查看相关日志 并结合日志ID进行日志筛选 常见的日志有 4634 帐户被注销 464
  • Linux中挖矿病毒清理通用思路

    目录 前言 清理流程 检查修复DNS 停止计划任务 取消tmp目录的可执行权限 服务排查 进程排查 高CPU占用进程查杀 计划任务清理 预加载劫持清理 系统命令变动排查 中毒前后可执行文件排查 系统配置文件排查 小结 前言 在被植入挖矿病毒
  • 网络安全应急响应----4、DDoS攻击应急响应

    文章目录 一 DDoS攻击简介 二 DDoS攻击方法 1 消耗网络带宽资源 1 1 ICMP Flood ICMP洪水攻击 1 2 UDP Flood UDP洪水攻击 2 消耗系统资源 2 1 TCP Flood 2 2 SYN Flood
  • 应急响应篇:windows入侵排查

    前言 应急响应 Incident Response Service IRS 是当企业系统遭受病毒传播 网络攻击 黑客入侵等安全事件导致信息业务中断 系统宕机 网络瘫痪 数据丢失 企业声誉受损 并对组织和业务运行产生直接或间接的负面影响时 急
  • 应急响应-账户排查

    用户信息排查 在服务器被入侵之后 攻击者可能会建立相关账户 方便进行远程控制 主要采用一下几种 直接建立一个新用户 有时候为了混淆视听 账户名称和系统常用名相似 激活一个系统中的默认用户 但是这个用户不经常使用 建立一个隐藏用 在windo
  • 2023安徽省“中银杯”职业技能大赛“网络安全” 项目比赛任务书

    2023安徽省 中银杯 职业技能大赛 网络安全 项目比赛任务书 2023安徽省 中银杯 职业技能大赛 网络安全 项目比赛任务书 A模块基础设施设置 安全加固 200分 A 1 登录安全加固 Windows Linux A 2 Nginx安全

随机推荐

  • QT之QComboBox使用汇总

    简介 QComboBox是一个集按钮和下拉选项于一体的控件 也被称为下拉列表框 addItem 函数添加一个列表项 ui gt comboBox gt clear 清除列表 for int i 0 i lt 20 i QIcon icon
  • 上传图片返回url java_Java实现图片上传返回上传地址

    关于在实际开发中最常用也是用的最多的Java实现文档 图片上传 一 准备阶段 文档 图片上传有几种方式 包括传统的ajax上传 云上传 这里给大家实现通过代码将图片上传至七牛云服务器并返回图片地址 1 需申请一台七牛云服务器地址 可免费试用
  • MacBook 配置 item2 、oh-my-zsh、Powerline

    MacBook 配置 item2 oh my zsh Powerline item2安装 oh my zsh 强烈推荐使用Git方式获取 简单上手 Powerline 强烈推荐使用Git方式获取 简单上手 最后效果图 item2安装 链接
  • Leetcode:28. Implement strStr() —— KMP算法

    Implement strStr Return the index of the first occurrence of needle in haystack or 1 if needle is not part of haystack E
  • tts服务器最基本维护方法,关于服务器维护的方法和技巧_

    关于服务器维护的方法和技巧 服务器出现故障的几率是非常的少的 但是仍然是需要引起高度性的重视的 因为这种类型的产品是非常重要的 大家都知道 尤其是对于整个网站是具有非常重要的意义 所以是需要时刻的关注产品 是不是出现一些问题 要避免损坏 在
  • VSCode 之 设置 settings.json 配置文件

    这篇文章主要介绍了 VSCode settings json 配置 文中通过示例代码介绍的非常详细 对大家的学习或者工作具有一定的参考学习价值 VSCode 从插件库里安装 eslint 和 prettier 两个 插件 也 实现 自动 格
  • 切比雪夫不等式例题讲解_一些不等式的杂货

    本文主要针对高考生和竞赛新手 东西比较杂 没什么顺序想到哪写哪 不涉及太多额外知识 一 三角里内角的几个不等式 锐角三角形 如果你不知道它们 或许问题不大 如果你不用琴生不会证 我就不知道说啥了 1 固定变量的思想有没有 不等式得证 或者考
  • 入门Docker你不得不读的基础知识

    本期喵锅给大家带来关于Docker研究及实际工作过程中的知识经验分享 内容过于翔实 万字长文 还请耐心阅读哦 不足之处还望小伙伴们在下方评论区多多留言 大家共同探讨 共同进步 一 Docker介绍 先讲问题 什么是docker 为什么用do
  • 解决recycleView加载九宫格由于图片过大导致卡顿的问题

    最近在开发公司项目的时候 遇到了很棘手的问题就是后台返回的图片很大 导致加载的很慢 当时考虑用压缩 但是压缩考虑到性能不好 所以就常识了新的解决办法代码如下 public class NineGridImageView extends Vi
  • UE4 SpawnActor

    UPROPERTY EditDefaultsOnly Category Player TSubclassOf
  • [Go版]算法通关村第一关白银——判断是否回文链表

    目录 题目 判断是否是回文链表 解决方法 快慢指针 递归反转链表 思路分析 复杂度 时间复杂度 O n O n
  • linux3.x 内核如何强制卸载模块?

    一 问题现象 在insmod时调用的init函数代码执行过程中出现oops 导致rmmod卸载失败 此时不得不重启目标板 No 下面是 精通linux设备驱动程序开发 中模拟鼠标的输入设备驱动的内核模块vms c代码 include
  • VS2017+gnuplot画图,下载安装教程

    c c 画图插件 gnuplot 1 官网下载 http www gnuplot info 这里下载的是5 4版本 2 之后进行无脑安装即可 只需注意以下几点 一定要记得点击 Add application directory to you
  • Spring Cloud Gateway 全局异常处理

    文章目录 Spring Cloud Gateway 全局异常处理 范例 示例 修改前抛出一个运行时异常 示例 全局异常处理抛出一个运行时异常 如何添加 自定义异常处理配置 全局异常处理监听器 总结 Spring Cloud Gateway
  • Android平台GB28181设备接入技术探讨

    GB T28181技术背景 在此之前 我们先对协议规范做个简单了解 GB28181协议是一种用于视频监控系统互联互通的国际标准 它定义了视频监控系统中的设备间如何进行通信 交换数据和协调控制 以下是GB28181协议的一些主要内容 设备互联
  • 期货中的正向交易与反向交易

    期货中的正向交易和反向交易 两者之间有什么样的共同点又存在什么样的差异 本文转发自公众号 反跟单交易 转载需注明出处 首先有一点值得认同 两者都属于交易 大家都抱有同样的赢利目的 就好像我们要去北京一样 虽然大家的出发点不同 乘坐的交通工具
  • Word处理控件Aspose.Words功能演示:在 Python 中将 Word DOCX 或 DOC 转换为 PDF

    Word 到PDF是最流行和执行最广泛的文档转换之一 DOCX或DOC文件在打印或共享之前会转换为 PDF 格式 在本文中 我们将在 Python 中自动将 Word 转换为 PDF 步骤和代码示例将演示如何使用 Python 将 Word
  • 公司自建机房IDC还是选择云服务器?以腾讯云为例

    大企业是选择自购服务器自建机房还是使用腾讯云服务器 都说企业上云是趋势 自建机房是一次性支出 上云租赁云服务器等产品需要年年续费 大型企业有必要把数据中心迁移上云吗 腾讯云服务器网想说 自建机房购买服务器等硬件并不是一次性支出 后续人工成本
  • 如何确定一个期刊是不是EI?

    去爱思唯尔官网下载最新的目录 网址 https www elsevier com solutions engineering village content compendex 打开EXCEL查看 SERIALS就是罗列出的所有的EI期刊和
  • 应急响应基础(三)——Windows日志分析

    Windows日志分析 一 Windows事件日志简介 1 Windows事件日志 Windows系统日志是记录系统中硬件 软件和系统问题的信息 同时还可以监视系统中发生的事件 用户可以通过它来检查错误发生的原因 或者寻找受到攻击时攻击者留