Windows日志浅析
Windows系统中的系统日志查看与分析
Windows系统中的系统日志查看与分析Windows操作系统提供了一个系统日志功能,用于记录操作系统和应用程序的活动和事件。
系统日志是管理员和技术支持人员用来诊断系统问题和监视系统性能的重要工具。
本文将介绍在Windows系统中如何查看和分析系统日志。
一、查看系统日志在Windows系统中,可以通过事件查看器来查看系统日志。
以下是查看系统日志的方法:1. 打开事件查看器在Windows操作系统的开始菜单中,搜索并打开“事件查看器”。
2. 导航至系统日志在事件查看器左侧的导航栏中,展开“Windows日志”,然后选择“系统”。
3. 检查日志系统日志中列出了操作系统的各种事件和错误。
可以根据事件级别(如错误、警告、信息)和日期范围进行筛选和排序。
二、分析系统日志系统日志中的事件提供了有关系统的重要信息和警告。
以下是分析系统日志的一些常见方法:1. 查找错误和警告在系统日志中,查找错误(红色叉号)和警告(黄色感叹号)的事件。
这些事件表示可能存在的问题或潜在的系统错误。
2. 查看事件详细信息双击一个事件,以查看其详细信息。
可以获得有关事件的时间戳、源、类别和描述等信息。
此外,还可以查看事件的特定属性和数据。
3. 使用筛选器事件查看器提供了筛选器功能,可以根据关键字、事件ID和事件级别等条件来筛选事件。
这有助于快速找到与特定问题相关的事件。
4. 导出日志有时,需要将系统日志导出并共享给其他技术支持人员。
可以使用事件查看器的导出功能将日志保存为文件,供后续分析和分享。
三、常见的系统日志事件以下是一些常见的系统日志事件及其含义:1. 硬件故障事件这些事件通常与硬件设备(如磁盘驱动器、内存)有关,表示硬件故障或错误。
2. 系统错误事件这些事件表示操作系统遇到了错误或异常情况。
例如,系统崩溃、蓝屏或无响应等。
3. 应用程序错误事件这些事件与特定应用程序有关,表示应用程序遇到了错误或异常情况。
4. 安全事件安全事件包括登录失败、文件访问权限等与系统安全相关的事件。
Windows系统系统日志分析技巧解读系统错误和警告
Windows系统系统日志分析技巧解读系统错误和警告Windows操作系统是目前世界上最常用的操作系统之一,它的稳定性和可靠性备受用户赞赏。
然而,就像任何其他复杂的软件系统一样,Windows也可能出现错误和警告。
为了帮助用户追踪和解决这些问题,Windows提供了系统日志功能。
系统日志是Windows系统中的一项关键功能,记录了系统中发生的各种事件和错误。
通过分析系统日志,用户可以获得有关系统问题的详细信息,并采取相应的措施来修复错误或解决潜在问题。
在本文中,我们将介绍一些分析系统日志的技巧,以帮助用户更好地理解和解读系统错误和警告。
1. 理解系统日志的基本原理系统日志是Windows操作系统的一个核心组件,它负责记录各种事件和错误信息。
系统日志的主要分类包括应用程序、安全性、系统和安全浏览。
每个日志都包含了各自的事件类型,如错误、警告和信息。
对于系统错误和警告的分析,我们需重点关注系统日志中的系统和应用程序事件。
2. 分析系统错误事件系统错误事件是指Windows系统内部发生的严重错误,这些错误通常会导致系统的功能异常或崩溃。
在系统日志中,系统错误事件以红色或黄色的标识出来,用户可以通过以下步骤进行分析:a. 打开事件查看器运行“eventvwr.msc”命令或通过控制面板中的“管理工具”打开事件查看器。
b. 导航到系统日志在事件查看器中,选择“Windows日志”下的“系统”。
c. 过滤系统错误事件在系统日志中,使用筛选功能过滤出系统错误事件。
常见的错误事件类型包括“Kernel-Power”、“BugCheck”和“Disk”。
d. 查看错误详情单击特定错误事件并查看其详细信息,包括错误代码、描述和相关进程信息等。
e. 尝试解决方案根据错误信息,尝试采取相应的措施来解决问题。
这可能包括更新驱动程序、修复操作系统或删除冲突的软件等。
3. 解读系统警告事件系统警告事件是指Windows系统中发生的一些非致命错误或潜在问题的警告信号。
常用的windows系统日志的类型
常用的windows系统日志的类型Windows系统日志是记录Windows操作系统运行过程中发生的事件和错误的重要工具。
它可以帮助用户追踪系统问题,并提供信息以便进行故障排除和修复。
本文将介绍常见的Windows系统日志类型及其功能。
一、应用程序日志应用程序日志记录了应用程序运行过程中的事件和错误信息。
它可以帮助用户识别应用程序崩溃、错误和警告,以及追踪应用程序的运行情况。
例如,当一个应用程序崩溃时,应用程序日志会记录崩溃的原因,以便用户进行修复。
二、安全日志安全日志记录了与系统安全相关的事件,如用户登录、账户权限变更、安全策略的修改等。
它可以帮助用户监控系统的安全性,及时发现异常行为和安全威胁。
例如,当一个用户尝试登录多次失败时,安全日志会记录这一事件,并提醒用户注意可能存在的入侵行为。
三、系统日志系统日志记录了系统运行过程中的事件和错误信息。
它可以帮助用户了解系统的运行状态,以及识别系统故障和错误。
例如,当系统启动时,系统日志会记录启动过程中的事件,包括硬件检测、驱动加载等,以便用户了解系统启动的情况。
四、设备管理日志设备管理日志记录了与设备管理相关的事件和错误信息。
它可以帮助用户了解设备的连接和断开情况,以及设备驱动程序的加载和卸载情况。
例如,当用户连接一个新的USB设备时,设备管理日志会记录设备的连接信息,包括设备类型、厂商信息等。
五、互联网连接日志互联网连接日志记录了与互联网连接相关的事件和错误信息。
它可以帮助用户了解系统与互联网的连接状态,以及识别网络问题和故障。
例如,当用户无法连接到互联网时,互联网连接日志会记录连接失败的原因,如DNS解析错误、网络设置错误等。
六、应用程序错误日志应用程序错误日志记录了应用程序运行过程中的错误信息。
它可以帮助用户定位和修复应用程序的错误。
例如,当一个应用程序发生未处理的异常时,应用程序错误日志会记录异常的详细信息,包括错误代码、异常堆栈等。
七、硬件故障日志硬件故障日志记录了系统硬件设备发生故障的事件和错误信息。
Windows日志浅析
Windows日志浅析总体来看,登录/登出事件对可以很好地追踪用户在一台主机上完整活动过程的起至点,和登录方式无关。
此外可以提供一些“帐户登录”没有的信息,例如登录的类型。
此外对终端服务的活动专门用两个事件ID来标识。
ok,我们开始分析,同样从5种类型分别进行分析。
1、本地方式的登录和登出Randy大神在书中只提到了Windows使用两个事件ID528和540记录用户成功的登录(后者对应网络类型的登录),登出使用ID530。
然而事实上同时发生的事件不只限于这些,那么让我们来看看用户简单的登录和登出活动至少会触发那些事件。
首先是成功的登录,从日志分析来看至少会有2个事件发生,分别为ID552和528,以下从左到右分别是各自的截图。
现在来各种进行详细分析,首先是ID552事件,该事件说明有人使用身份凭据在尝试登录,并且头字段中的用户名为SYSTEM。
看看描述信息中有什么好东西:使用明确凭据的登录尝试: (说明有人在尝试登录)登录的用户:用户名: WIN2003$ (主机名加了$后缀)域: WORKGROUP (主机的域名,此例中主机在名称为“WORKGROUP”的工作组中)登录ID: (0x0,0x3E7)登录GUID: -凭据被使用的用户:目标用户名: Administrator (登录使用的用户名)目标域: WIN2003 (要登录的主机名)目标登录GUID: -目标服务器名称: localhost目标服务器信息: localhost调用方进程ID: 1612源网络地址: 127.0.0.1 (从IP地址很容易判断是本地登录)源端口: 0这里有一点要说明一下,Windows对这条日志的解释是“一个已登录的用户尝试使用另外一个用户凭证创建登录会话,例如使用“RUNAS”命令来运行某个可执行文件”。
但事实上第1次用户成功登录后也会产生这个事件。
接着是ID528事件,此时头字段中的用户名也变成真实的用户名,看看描述信息中有什么东西:登录成功: (说明用户已成功登录)用户名: Administrator (登录使用的用户名)域: WIN2003 (被登录主机所属的域的域名,如果不在域中为主机名)登录ID: (0x0,0x37BF9) (此登录ID在计算机重启前会保持其唯一性,重启后可能会被再次使用。
windows安全日志分析
window安全日志分析今日服务器遭受入侵,入侵路径回溯:被入侵服务器—>跳板机—>办公网某主机。
因此整理记录windows被入侵相关信息。
本文只研究windows安全登录相关日志,介绍三种事件类型(登录,注销,尝试登陆)。
通过此日志可查看windows主机是否通过3389远程服务爆破进入。
注:windows日志有存储大小限制,有被覆盖的可能.可修改,请自行百度。
1.1 windows日志位置我的电脑右键管理:刷选windows安全日志事件ID:4000-4700,登录相关1.2 三种登录事件详解1.2.1 事件4648(尝试登陆)事件4648描述:此事件发生在日志所在windows主机,表明日志所在windows主机尝试连接远程主机,无论连接成功与否,这里都会记录。
网络地址端口:经测试发现只有同一局域网(且同一C段)才会记录目标服务器ip端口。
1.2.2 事件4624(登陆成功)事件4624描述:表示日志所在win主机被成功连接“使用者":指明本地系统上请求登录的帐户。
这通常是一个服务(例如Server 服务)或本地进程(例如Winlogon。
exe 或Services.exe).“登录类型”:指明发生的登录种类。
最常见的类型是 2 (交互式)和3 (网络)。
(登陆类型3:例如连接共享文件,打印机等;登陆类型7:解锁;登陆类型10:例如远程桌面等参考连接:http://blog。
sina。
/s/blog_5c39a08901012uu5。
html)“新登录”:指明新登录是为哪个帐户创建的,即登录的帐户。
“网络信息”:指明远程登录请求来自哪里.“工作站名”并非总是可用,而且在某些情况下可能会留为空白.1.2.3 事件4634(注销)1.3 日志分析工具log_parser_lizard工具介绍:一个Log Parser的图形版,功能强大(可能需要安全相关依赖,我一开始安装了Log Parser) 使用参考连接: http://blog。
Windows系统中的系统日志分析方法
Windows系统中的系统日志分析方法Windows操作系统拥有强大且详细的系统日志功能,可以记录操作系统运行过程中的各种事件和错误信息。
通过分析这些系统日志,管理员可以及时发现并解决系统问题,提高系统的可靠性和性能。
本文将介绍Windows系统中的系统日志分析方法。
一、系统日志的分类系统日志主要分为三类:应用程序日志、安全日志和系统日志。
应用程序日志用来记录与特定应用程序相关的事件信息,包括应用程序的错误、警告和信息等。
安全日志记录安全审计和访问控制信息,用于监视系统的安全状况。
系统日志则记录系统组件和操作系统自身的事件信息,包括启动和关闭事件、硬件错误和系统性能等。
二、系统日志的查看1. 打开事件查看器在Windows操作系统中,可以通过“管理工具”中的“事件查看器”来查看系统日志。
也可以使用“运行”对话框中的“eventvwr.msc”命令快速打开事件查看器窗口。
2. 选择日志类型在事件查看器窗口中,左侧面板中列出了三类日志类型:“应用程序和服务日志”、“Windows日志”和“安全日志”。
根据需要,选择相应的日志类型即可查看对应的系统日志。
三、系统日志的分析1. 了解事件的级别和类别事件查看器中,每个日志条目都有一个事件级别和事件类别。
事件级别主要分为四个等级:信息(Information)、警告(Warning)、错误(Error)和严重错误(Critical)。
事件类别则根据不同的日志类型而有所不同,比如应用程序日志中的事件类别包括应用程序错误、应用程序警告和应用程序信息等。
2. 过滤和排序日志为了更好地查找和分析系统日志,可以使用事件查看器中的过滤功能。
可以按照事件级别、事件源和关键字等进行日志过滤,只显示关注的日志信息。
此外,还可以对日志进行排序,按照时间、事件级别等进行排序,便于分析和比对。
3. 解读事件描述每个日志条目包含事件描述和相关详细信息,其中会有关键字、错误码等信息。
Windows系统中的系统日志和错误报告分析
Windows系统中的系统日志和错误报告分析在Windows操作系统中,系统日志和错误报告是非常重要的工具,它们可以记录和提供有关系统运行状况的详细信息,帮助用户分析和解决各种问题。
本文将详细介绍Windows系统中的系统日志和错误报告,并解释如何分析它们以便有效地定位和解决故障。
一、系统日志系统日志是一种记录和存储系统事件的功能,它包含了系统启动、关机、硬件故障、驱动程序问题、应用程序错误等多种类型的事件。
通过查看系统日志,用户可以及时发现并解决潜在的问题,提高系统的稳定性和可靠性。
Windows系统中的系统日志分为三类:应用程序日志、安全日志和系统日志。
应用程序日志存储与应用程序相关的事件和错误信息,安全日志用于记录安全相关的事件,而系统日志则包含与操作系统本身有关的事件和错误。
要查看系统日志,用户可以按下Win键+R键,打开运行对话框,输入eventvwr.msc命令,然后在事件查看器中选择相应的日志类型。
通过筛选和查找功能,用户可以根据日志的事件ID、级别和来源等信息找到特定的日志记录。
二、错误报告错误报告是一种Windows系统自动生成的记录故障信息的工具,它可以收集有关应用程序和系统崩溃的详细数据,并发送给Microsoft进行分析和提供解决方案。
错误报告能够帮助用户追踪和解决应用程序或系统崩溃的原因。
当应用程序或系统崩溃时,Windows系统会自动弹出错误报告对话框,用户可以选择发送错误报告给Microsoft或不发送。
如果用户选择发送错误报告,相关的错误信息将被记录并匿名上传,用于改进Windows系统的稳定性和性能。
用户也可以主动查看错误报告,方法是打开控制面板并选择“问题报告和解决”选项。
在问题报告和解决窗口中,用户可以查看已发送的错误报告以及与之相关的解决方案。
三、系统日志和错误报告的分析系统日志和错误报告的分析是解决Windows系统问题的重要步骤。
通过仔细分析日志和错误报告,用户可以找到问题的源头,并采取相应的措施进行修复或优化。
Windows系统日志分析技巧
Windows系统日志分析技巧Windows系统日志是操作系统记录各种事件的重要记录工具,通过分析系统日志可以帮助我们了解系统运行状况、排查问题和改善系统性能。
本文将介绍一些Windows系统日志分析的常用技巧,帮助读者更好地利用系统日志。
1. 概述Windows系统日志主要包含应用程序日志、安全日志、系统日志和事件订阅日志。
应用程序日志包含了与特定应用程序相关的事件和错误信息;安全日志用于记录系统登录、访问权限和安全策略相关的事件;系统日志则包含操作系统本身的事件和错误信息;事件订阅日志用于跟踪订阅发布的事件。
2. 了解日志分类在进行系统日志分析前,我们首先要对系统日志的分类有所了解。
通过观察应用程序日志、安全日志、系统日志和事件订阅日志中的事件类型和级别,可以帮助我们聚焦于特定类型的问题。
比如,如果我们遇到了系统崩溃的问题,就应该重点关注系统日志中的错误、警告和关键事件。
3. 使用筛选器Windows系统日志通常会记录大量的事件,为了快速找到我们关心的信息,可以使用筛选器进行过滤。
通过对关键词、事件ID、级别等进行筛选,可以缩小日志内容范围,提高效率。
例如,我们可以使用关键词筛选器查找特定应用程序的错误事件,或者使用级别筛选器查找系统崩溃事件。
4. 分析日志详情系统日志中每个事件都包含详细的信息,我们可以仔细阅读事件的详细描述,以了解事件发生的上下文和影响。
比如,安全日志中的登录事件可以告诉我们登录的用户名、登录类型和登录时间等信息,这些信息对于安全审计和追踪非法登录行为非常重要。
5. 应用统计功能Windows系统日志还提供了一些统计功能,帮助我们更好地了解系统的运行情况。
比如,我们可以使用性能监视器对系统日志进行实时监控,以便快速发现系统资源占用过高或者进程崩溃的问题。
此外,系统还提供了事件查看器和追踪日志等工具,用于高级日志分析和故障排除。
6. 日志备份和归档为了确保日志的完整性和长期保存,我们应该定期备份和归档系统日志。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一从这篇文章开始本人开始结合Windows产品日志分析大神(RANDY FRANKLIN SMITH)的电子书,以及自己的实验对Windows操作系统的日志开始分析。
也是对自己的一种激励,至少希望自己能坚持下去这个分析。
并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解,好了,废话不多说了,回归正题。
Windows日志从Windows2000版本后共包括9种审计策略,Windows NT只有7种(此次没验证,懒得装NT虚拟机了)。
共分为:帐户登录、登录、对象访问、目录服务访问、进程追踪、特权使用、帐户管理、策略变更、系统事件9大类。
其中帐户登录其实是对登录用户的认证事件,据大神Randy自己说,称其为“认证事件“更为合适。
登录事件记录的是用户登录到哪台PC的事件。
对象访问记录的是用户对Windows 对象的访问事件,这里对象包括注册表、服务、打印机、文件/文件夹等。
目录服务访问就是对AD中所有对象的访问事件。
进程追踪则为主机执行的程序事件,不管是由用户自己执行还是系统自动执行的。
特权使用指用户使用分配的特权的事件,这里特权指在本地安全策略中分配给用户的权限。
帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件。
策略变更指本地安全策略或DC上信任关系变化的事件。
系统事件则涉及到一些安全事件的杂项,如系统的启动和关闭、系统事件修改等等。
二9类审计策略大概的介绍就到这里,在随后的文章中会分别具体地说明,自己也尽可能在Windows2003操作系统进行验证。
在正式对每类事件进行分析前,先大概对windows的日志格式进行一个简单的介绍。
每个windows日志都由两部分组成:头字段和描述字段。
头字段是相对内容和格式都固定的部分,包括的信息有:事件的id、日期和时间、事件的结果(成功还是失败)、事件的来源和类别。
由于安全日志所有的来源都记为“source”,因此意义不大。
而类别就是(一)中提到的9种类别。
这里的用户字段用处也不是很大,因为很多事件简单地记为“STSTEM”为用户,所以真正要看是什么用户触发了该条日志还是要看描述字段里面是否有相应的实际用户(这些在随后的日志分析中会涉及到)。
因此很多时候我们需要详细分析描述字段中的信息,这部分出现的信息也会随具体的事件而不同,但是其形式都是为一系列组合信息,每个组合信息是一个内容固定的描述信息(类似占位符的作用),以及后面的动态信息。
举个例子来说:ID680事件的描述字段包括:“Logon account: Administrator”。
这里“Logon account:”是固定的前置字段占位符,而后面的“Administrator”则是真实的实例名称,会根据实际的情况而变化。
我们可以打开本地的一条日志,点击描写字段部分的蓝色链接,联网的情况下可以查看到微软的支持中心中对该条日志的详细说明,其中的Message字段通常为以下的内容,很容易看到ID为567的这条日志的描述字段包括7个字段信息,说明其中有7个变量存在,其内容由实际情况生成。
Object Access Attempt:Object Server: %1Handle ID: %2Object Type: %3Process ID: %4Image File Name: %5Accesses: %6Access Mask: %7因此从上面可以看到很多关键的信息其实都隐藏在描述字段信息中,需要进行仔细地分析!最后再简单地说下windows自身存储策略的设置:根据Randy大神的经验,最大不要超过199M,200M的话可能会对windows的性能和稳定性有一定影响(这点不好进行实验验证)。
此外不论配置最大空间为多少,迟早会有满的时候。
所以Randy建议选择“不改写事件(手动地清除)”选项,此时一旦日志大小达到上限,windows会停止记录事件。
当选择“改写久于X天的事件“时,如果事件的产生速度很快,在未过期前就达到了上限,windows同样是停止记录日志直到某些日志过期。
以下是网上对于这些保存设置的说明和建议,所以如何设置也是在安全性、易维护性等方面权衡了。
最后我们还可以把日志事件另存为本地文件查看,其中txt和csv格式可以较为方便地直接查看,而evt格式需要专门的软件来查看,如LogParser。
因此在日志量很多的情况下,还是建议由专门的日志管理产品来完成此功能。
ok,一些情况就简单介绍到这里,下面开始对每类事件进行较为详细的分析,Let’s go!三ok,从本篇终于要开心对windows日志进行分析了,首先从最基本的登录活动开始。
这也是任何日志分析最基础的开始,涉及到对用户活动的分析,总要从登录开始咯。
等等,在开始这激动人心的时刻之前,我们还是想讲清楚windows登录活动的一些原理,然后再分析相关的日志也不迟:)从windows2000开始,审核策略选项里面涉及到登录的有两项:分别是“审核帐户登录事件”和“审核登录事件”。
那么有些人可能不太明白了,为什么用户的登录要有两类事件来记录呢?ok,这里简单的解释一下(来自Randy大神,具体有待考证)。
在windows2000之前,例如NT的时候windows系统只审核登录事件。
这样如果使用域帐户登录某台工作站的话,域控服务器(DC)上是没有该用户的登录记录的,只会记录在被访问的工作站上(当然前提是工作站开启了登录审核)。
因此DC不记录域用户的认证活动使得想要对域用户的登录活动进行监控十分困难,得收集整个网络中所有工作站和服务器的安全日志。
因此呢,微软从windows2000开始增加了一个新的特色功能,也就是“审核帐户登录事件”。
但是这个叫法与原来的“审核登录事件”很像,容易让人产生混淆。
因此Randy 大神认为称之为“审核认证事件”更为恰当!也就是说在windows中认证和登录活动是相关但是不同的两个活动,特别是在它们发生在不同的系统上时表现更为明显!因此想要有效地使用这两个审计策略,需要很好地理解相关的原理,明白在windows系统中认证和登录是如何发生的。
另一个容易让人混淆的是登录使用帐户的类型,是本地还是域帐户,因为这会影响到什么事件记录在哪些系统上。
接下来就对windows帐户类型简单介绍下。
windows系统支持两种帐户类型:域帐户(存储在AD中)和本地帐户(存储在本地的SAM 文件中)。
这样的话也很简单了,使用域帐户登录的话,由DC来完成对用户的认证;如果本地帐户登录的话则由要登录的工作站自己来完成认证。
所以需要特别关注使用本地帐户的登录活动,因为攻击者通常会使用本地帐户来进行登录尝试。
接下来我们看看windows的登录方式都有哪些。
windows一共支持5种登录会话类型,都分别描述了用户如何登入系统的方式。
本地和域帐户都支持这5种类型。
每种登录类型有一个对应的登录权限。
登录帐户的类型和登录的方式都会影响到审核日志的具体内容和事件ID,每种类型及其权限如下表所示:当我们尝试网络登录登录时,比如访问某台主机的共享文件夹,工作站默认会再次使用用户登录时输入的凭证。
但是用户也可以指定一个不同的本地或者域帐户,例如映射本地磁盘到某个共享文件夹时。
登录VS认证小结因此,在windows中登录和认证是关联但是不同的两个活动。
简言之登录活动发生在最终被访问的主机上,认证活动发生在存储用户帐户的主机上。
也就是如果使用本地帐户登录某台主机,该主机同时“看到”认证和登录活动。
如果是使用域帐户登录,那么DC可以“看到”认证活动,而被访问的真实主机只“看到”登录活动。
所以“审计帐户登录事件”是主要用于DC上的审计策略,但是在成员工作站上也有用,可以辨识对本地帐户的攻击。
既然通常DC来完成域帐户的认证,那么就会涉及到windows系统支持的2种认证协议:NTLM和Kerberos。
NTLM VS Kerberos当用户使用域帐户登录windows2000及之后版本的操作系统时,工作站首先会尝试通过Kerberos协议联系DC。
(如果系统没收到响应的话,会回退使用NTLM)。
并且Widows2000及之后的版本使用不同的事件ID记录NTLM和Kerberos活动,所以比较容易区分。
由于Kerberos提供了客户端和服务器间的双向认证(NTLM只支持客户端向服务器的认证)。
并且NTLM的安全性较Kerberos弱一些,更容易被嗅探数据包进行破解。
而且如果外部的攻击者攻击某个域的帐户,通常会看到NTLM认证事件,而不是Kerberos。
因为他们不是本域的成员或信任域,登录尝试会使用NTLM。
NTLM和Kerberos协议的工作机理这里暂时不详细说明了,而且由于自己目前对域这一块不是很熟悉,暂且跳过使用域帐户登录方式的日志分析,先从本地用户方式的认证开始。
以后有机会再搭建域的实验环境,然后进行使用域帐户的登录活动分析。
四ok,终于开始要真枪实干地分析日志了,首先我们对“审计帐户登录事件”下手,也就是用户的认证事件。
这里暂时只考虑使用本地帐户进行登录,不包括域用户。
以后搭建起来实验环境,对域也比较熟悉后再补上这一课。
这里为了排除干扰,每次实验前均清除日志,且只开启要分析类别事件的审计功能。
此次实验均使用windows2003,其它版本的windows系统事件ID和描述可能会有一些出入。
前面已经说过了,windows有5种帐户登录方式,所以我们一个个来看。
1、本地交互式登录,也就是我们每天最常使用的登录方式。
如果成功登录的话,会产生ID 为680的事件,如上图所示,我们从中可以获取到的有用信息有:认证事件的时间、结果为成功(审核成功)、登录帐户为“administrator”、(描述中的部分)、被登录的主机名(WIN2003)。
接下来看看登录失败是什么记录,这里第1次使用不存在的用户名登录、第2次使用正确的用户名但是错误密码。
从日志中我们可以很遗憾地看到,虽然是登录失败事件,但是事件ID仍然是680(windows2000失败事件ID为681,Windows2003把成功和失败事件都标识为ID680)。
但是类型为“审核失败”,并且头字段中的用户名由原来的“Windows2003\Administrator”变成了“NT AUTHORITY\SYSTEM”。
描述信息中的登录帐户记录了尝试登录使用的真实用户名,错误代码也会根据认证失败的原因而变化。
据微软的说明,每种错误代码对应的原因如下表格:2、使用RDP协议进行远程登录,这也是日常经常遇到的情况。
首先是成功登录,如下图所示,从中可以看到ID仍为680,并且与本地登录没有任何明显区别。
并且描述信息中的主机名(源工作站)仍为被尝试登录主机的主机名,而不是源主机名。