返回
windows日志浅析

windows日志浅析

ID:24792626

大小:950.16 KB

页数:38页

时间:2018-11-11

windows日志浅析_第1页
windows日志浅析_第2页
windows日志浅析_第3页
windows日志浅析_第4页
windows日志浅析_第5页
资源描述:

《windows日志浅析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、一从这篇文章开始本人开始结合Windows产品日志分析大神(RANDYFRANKLINSMITH)的电子书,以及自己的实验对Windows操作系统的日志开始分析。也是对自己的一种激励,至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解,好了,废话不多说了,回归正题。Windows日志从Windows2000版本后共包括9种审计策略,WindowsNT只有7种(此次没验证,懒得装NT虚拟机了)。共分为:帐户登录、登录、对象访问、目录服务访问、进程追踪、特权使用、帐户管理、策略变更、系统事件9大类。其中帐户登录其实是对登

2、录用户的认证事件,据大神Randy自己说,称其为“认证事件“更为合适。登录事件记录的是用户登录到哪台PC的事件。对象访问记录的是用户对Windows对象的访问事件,这里对象包括注册表、服务、打印机、文件/文件夹等。目录服务访问就是对AD中所有对象的访问事件。进程追踪则为主机执行的程序事件,不管是由用户自己执行还是系统自动执行的。特权使用指用户使用分配的特权的事件,这里特权指在本地安全策略中分配给用户的权限。帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件。策略变更指本地安全策略或DC上信任关系变化的事件。系统事件则涉及到一些

3、安全事件的杂项,如系统的启动和关闭、系统事件修改等等。二9类审计策略大概的介绍就到这里,在随后的文章中会分别具体地说明,自己也尽可能在Windows2003操作系统进行验证。在正式对每类事件进行分析前,先大概对windows的日志格式进行一个简单的介绍。每个windows日志都由两部分组成:头字段和描述字段。头字段是相对内容和格式都固定的部分,包括的信息有:事件的id、日期和时间、事件的结果(成功还是失败)、事件的来源和类别。由于安全日志所有的来源都记为“source”,因此意义不大。而类别就是(一)中提到的9种类别。这里的用户字段用处也不是很大,因为很多事件

4、简单地记为“STSTEM”为用户,所以真正要看是什么用户触发了该条日志还是要看描述字段里面是否有相应的实际用户(这些在随后的日志分析中会涉及到)。因此很多时候我们需要详细分析描述字段中的信息,这部分出现的信息也会随具体的事件而不同,但是其形式都是为一系列组合信息,每个组合信息是一个内容固定的描述信息(类似占位符的作用),以及后面的动态信息。举个例子来说:ID680事件的描述字段包括:“Logonaccount:Administrator”。这里“Logonaccount:”是固定的前置字段占位符,而后面的“Administrator”则是真实的实例名称,会根据

5、实际的情况而变化。我们可以打开本地的一条日志,点击描写字段部分的蓝色链接,联网的情况下可以查看到微软的支持中心中对该条日志的详细说明,其中的Message字段通常为以下的内容,很容易看到ID为567的这条日志的描述字段包括7个字段信息,说明其中有7个变量存在,其内容由实际情况生成。ObjectAccessAttempt:ObjectServer:%1HandleID:%2ObjectType:%3ProcessID:%4ImageFileName:%5Accesses:%6AccessMask:%7因此从上面可以看到很多关键的信息其实都隐藏在描述字段信息中,需

6、要进行仔细地分析!最后再简单地说下windows自身存储策略的设置:根据Randy大神的经验,最大不要超过199M,200M的话可能会对windows的性能和稳定性有一定影响(这点不好进行实验验证)。此外不论配置最大空间为多少,迟早会有满的时候。所以Randy建议选择“不改写事件(手动地清除)”选项,此时一旦日志大小达到上限,windows会停止记录事件。当选择“改写久于X天的事件“时,如果事件的产生速度很快,在未过期前就达到了上限,windows同样是停止记录日志直到某些日志过期。以下是网上对于这些保存设置的说明和建议,所以如何设置也是在安全性、易维护性等方

7、面权衡了。按需要改写事件当日志已满时继续写入新的事件。每个新事件替换日志中时间最旧的事件。该选项对维护要求低的系统是一个不错的选择。改写久于[x]天的事件保留位于指定改写事件的天数之前的日志。默认值为7天。如果您想每周存档日志文件,该选项是最佳选择。该策略将丢失重要日志项的几率降到最小,同时保持日志的合理大小。不改写事件手动而不是自动清除日志。只有在您无法承受丢失事件时才选中该选项(例如,特别强调安全性的站点的安全性日志)。最后我们还可以把日志事件另存为本地文件查看,其中txt和csv格式可以较为方便地直接查看,而evt格式需要专门的软件来查看,如LogPar

8、ser。因此在日志量很多的情况下,还是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。