【Windows日志】记录系统事件的日志

妖刀路过

一、概要
Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。

系统和应用程序日志存储着故障排除信息，对于系统管理员更为有用。
安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么，对于 调查人员而言，更有帮助。

其他日志：

除了应用程序日志、系统日志和安全日志以外，一些特殊的系统服务配置可能也会产生其他日志文件，例如Powershell日志、WWW日志、FTP日志，DNS服务器日志等。

查看记录系统事件的日志：

WIN+R打开运行框，运行 eventvwr.msc 命令，打开事件查看器


查看windows 日志，分析windows 日志时， 主要是查看安全日志，分析是否存通过暴力破解、横向传递等安全事件，定位恶意IP地址、事件发生时间等。


二、Windows日志介绍
2.1 应用程序日志
应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

默认位置：C:\Windows\System32\Winevt\Logs\Application.evtx

2.2 系统日志
系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等

默认位置：C:\Windows\System32\Winevt\Logs\System.evtx

2.3 安全日志
安全日志记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认位置：C:\Windows\System32\Winevt\Logs\Security.evtx

三、查看与分析日志
事件ID是区分系统事件的一个重要字段，在事件查看器中可以通过事件ID筛选日志（本文将在第四章对事件ID进行总计梳理）


以4624（登陆成功）事件为例，看一下日志信息：



查看系统登录日志时，重点关注以下字段信息。

事件ID：4624（登录成功）和4625（登录失败）。
登录类型：根据登录类型分析登录操作来源。
账户名：登录操作时使用的账户名。
源网络地址：登录操作来源IP。
进程信息：登录操作调用的进程。
四、常见事件ID
Windows安全事件最常用的事件ID：

事件ID        说明        备注
1074        计算机开机、关机、重启的时间、原因、注释        查看异常关机情况
1102        清理审计日志        发现篡改事件日志的用户
4624        登录成功        检测异常的未经授权的登录
4625        登陆失败        检测可能的暴力密码攻击
4632        成员已添加到启用安全性的本地组        检测滥用授权用户行为
4634        注销用户       
4648        试图使用显式凭据登录       
4657        注册表值被修改       
4663        尝试访问对象        检测未经授权访问文件和文件夹的行为。
4672        administrator超级管理员登录（被赋予特权）       
4698        计划任务已创建       
4699        计划任务已删除       
4700        启用计划任务       
4701        禁用计划任务       
4702        更新计划任务       
4720        创建用户       
4726        删除用户       
4728        成员已添加到启用安全性的全局组        确保添加安全组成员的资格信息
4740        锁定用户账户        检测可能的暴力密码攻击
4756        成员已添加到启用安全性的通用组       
6005        表示日志服务已经启动（表明系统正常启动了）        查看系统启动情况
6006        表示日志服务已经停止（如果在某天没看到6006事件，说明出现关机异常事件了）        查看异常关机情况
6009        非正常关机（ctrl+alt+delete关机）       
AI生成项目
c
运行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
4.1 登录事件
事件ID        说明
4624        登陆成功
4625        登录失败
4634        用户注销
4647        用户启动了注销过程。
4648        用户已成功使用显式凭据登录到计算机，而该用户已以其他用户身份登录。
4779        用户在未注销的情况下断开了终端服务器会话的连接。
AI生成项目
c
运行
1
2
3
4
5
6
7
4.1.1 4624登陆成功
登陆成功事件中将包含以下信息，其中需要特别关注账户名称、登陆类型、进程名称、源网络地址：

已成功登录帐户。

使用者:
        安全 ID:                SYSTEM
        帐户名称:                LAPTOP-TU29M93M$
        帐户域:                WORKGROUP
        登录 ID:                0x3E7

登录信息:
        登录类型:                5
        受限制的管理员模式:        -
        虚拟帐户:                否
        提升的令牌:                是

模拟级别:                模拟

新登录:
        安全 ID:                SYSTEM
        帐户名称:                SYSTEM
        帐户域:                NT AUTHORITY
        登录 ID:                0x3E7
        链接的登录 ID:                0x0
        网络帐户名称:        -
        网络帐户域:        -
        登录 GUID:                {00000000-0000-0000-0000-000000000000}

进程信息:
        进程 ID:                0x4c8
        进程名称:                C:\Windows\System32\services.exe

网络信息:
        工作站名称:        -
        源网络地址:        -
        源端口:                -

详细的身份验证信息:
        登录进程:                Advapi  
        身份验证数据包:        Negotiate
        传递的服务:        -
        数据包名(仅限 NTLM):        -
        密钥长度:                0
AI生成项目

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。
“新登录”字段指示新登录是为哪个帐户创建的，即已登录的帐户。
“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用，并且在某些情况下可能会留空
“模拟级别”字段指示登录会话中的进程可以模拟到的程度。
“身份验证信息”字段提供有关此特定登录请求的详细信息。
- “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指示哪些中间服务参与了此登录请求。
-“数据包名”指示在 NTLM 协议中使用了哪些子协议。
-“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥，则此字段将为 0。
在登录信息中可以根据登陆类型来区分登录者到底是从本地登录，还是从网络登录，以及其它更多的登录方式。因为了解了这些登录方式，将有助于从事件日志中发现可疑的黑客行为，并能够判断其攻击方式。以下列举了常见的登陆类型：

登录类型        登录标题        说明        备注
2        交互        本地登录        控制台登录；
RUNAS（没带/Netonly参数）
硬件远程控制解决方案（如网络** KVM **或远程访问/服务器中的无人照看卡）
IIS 基本身份验证（低于 IIS 6.0）
3        网络        从网络登录到此计算机        例如连接共享文件或共享打印机
4        批处理        批处理登录类型由批处理服务器使用，其中进程可以代表用户执行，而无需用户直接干预。       
5        服务        服务控制管理器已启动服务。        开机之后通常会伴随许多服务类型的登录
7        解除锁定        已解锁此工作站        睡眠模式之后的登录
8        NetworkCleartext        从网络登录到此计算机的用户。 用户的密码以未经过哈希处理的形式传递给验证包。 内置的身份验证将所有哈希凭证打包，然后再通过网络发送它们。 凭据不会以纯文本（也称为明文）形式遍历网络。        IIS 基本身份验证（IIS 6.0 和更高版本）；
Windows PowerShell（具有 CredSSP）
9        NewCredentials        调用方克隆了其当前密码并为出站连接指定了新凭据。 新登录会话具有相同的本地标识，但对其他网络连接使用不同的凭据。        当你使用带**/Netonly**参数的RUNAS命令运行一个程序时（没带/Netonly参数的RUNAS命令被标记为2）
10        RemoteInteractive        使用终端服务或远程桌面远程登录到此计算机的用户。        远程登录
11        CachedInteractive        使用存储在计算机上的本地网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据。       
AI生成项目
c
运行

1
2
3
4
5
6
7
8
9
10
11
12
13
14


更多关于4624登录成功的详细字段解析请参阅https://learn.microsoft.com/zh-c ... auditing/event-4624

4.1.2 4625登陆失败
登陆失败事件中将包含以下信息，其中需要特别关注账户名称、登陆类型、失败信息、调用方进程名称、源网络地址：

帐户登录失败。

使用者:
        安全 ID:                SYSTEM
        帐户名:                LAPTOP-TU29M93M$
        帐户域:                WORKGROUP
        登录 ID:                0x3E7

登录类型:                        2

登录失败的帐户:
        安全 ID:                NULL SID
        帐户名:                JSSLRKS
        帐户域:                LAPTOP-TU29M93M

失败信息:
        失败原因:                未知用户名或密码错误。
        状态:                        0xC000006D
        子状态:                0xC000006A

进程信息:
        调用方进程 ID:        0x4e8
        调用方进程名:        C:\Windows\System32\svchost.exe

网络信息:
        工作站名:        LAPTOP-TU29M93M
        源网络地址:        127.0.0.1
        源端口:                0

详细身份验证信息:
        登录进程:                User32
        身份验证数据包:        Negotiate
        传递服务:        -
        数据包名(仅限 NTLM):        -
        密钥长度:                0
AI生成项目

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。
“进程信息”字段表明系统上的哪个帐户和进程请求了登录。
“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。
“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
AI生成项目
1
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥，则此字段为 0。

4625登陆失败事件的子状态码表示登陆失败的原因，在此整理常见的子状态码：

子状态码        描述
0XC000005E        当前没有可用于服务登录请求的登录服务器。
0xC0000064        用户使用拼写错误或错误用户帐户进行登录
0xC000006A        用户使用拼写错误或错误密码进行登陆
0XC000006D        原因可能是用户名或身份验证信息错误
0XC000006E        指示引用的用户名和身份验证信息有效，但某些用户帐户限制阻止了成功的身份验证（例如时间限制）。
0xC000006F        用户在授权时间之外登录
0xC0000070        用户从未经授权的工作站登录
0xC0000071        用户使用过期密码登录
0xC0000072        用户登录到管理员已禁用的帐户
0XC00000DC        指示 Sam 服务器处于错误状态，无法执行所需操作。
0XC0000133        DC 和其他计算机之间的时钟完全不同步
0XC000015B        此计算机上尚未授予用户请求的登录类型（也称为_登录权限_）
0XC000018C        登录请求失败，因为主域和受信任域之间的信任关系失败。
0XC0000192        尝试登录，但 Netlogon 服务未启动。
0xC0000193        用户使用过期帐户登录
0XC0000224        用户需要在下次登录时更改密码
0XC0000225        很明显，这是 Windows 中的错误而非风险
0xC0000234        帐户已锁定的用户登录
0XC00002EE        失败原因：登录时出错
0XC0000413        登录失败：登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证。
0x0        状态正常。
AI生成项目
c
运行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
更多关于4625登录失败的详细字段解析请参阅https://learn.microsoft.com/zh-c ... auditing/event-4625

4.2 特权使用
事件ID        说明
4672        给新登录分配特权
4673        要求特权服务
4674        试图对特权对象尝试操作
AI生成项目
c
运行
1
2
3
4
4.3 账户管理事件
帐户管理事件的示例包括：

创建、更改或删除用户帐户或组。
用户帐户已重命名、禁用或启用。
设置或更改密码。
事件ID        说明
4720        已创建用户帐户。
4723        用户密码已更改。
4724        设置了用户密码。
4726        已删除用户帐户。
4727        创建了一个全局组。
4728        已将成员添加到全局组。
4729        从全局组中删除了一个成员。
4730        已删除全局组。
4731        创建了一个新的本地组。
4732        一个成员已添加到本地组。
4733        从本地组中删除了一个成员。
4734        已删除本地组。
4735        本地组帐户已更改。
4737        已更改全局组帐户。
4738        用户帐户已更改。
4739        修改了域策略。
4740        用户帐户已自动锁定。
4741        已创建计算机帐户。
4742        计算机帐户已更改。
4743        已删除计算机帐户。
4744        创建了禁用了安全性的本地安全组。
注意： 正式名称中的SECURITY_DISABLED意味着无法使用此组在访问检查中授予权限
4745        已更改禁用安全性的本地安全组。
4746        已将一名成员添加到安全禁用的本地安全组。
4747        从安全禁用的本地安全组中删除了一名成员。
4748        已删除安全禁用的本地组。
4749        已创建安全禁用的全局组。
4750        已更改安全禁用的全局组。
4751        已将一名成员添加到安全禁用的全局组。
4752        成员已从安全禁用的全局组中删除。
4753        已删除安全禁用的全局组。
4754        已创建启用安全性的通用组。
4755        已更改启用安全的通用组。
4756        成员已添加到已启用安全的通用组。
4757        成员已从启用安全的通用组中删除。
4758        已删除已启用安全性的通用组。
4759        已创建安全禁用的通用组。
4760        已更改安全禁用的通用组。
4761        成员已添加到安全禁用的通用组。
4762        成员已从安全禁用的通用组中删除。
4763        已删除安全禁用的通用组。
4764        组类型已更改。
4780        设置管理组成员的安全描述符。
685        设置管理组成员的安全描述符。
注意： 后台线程每 60 分钟在域控制器上搜索 (管理组的所有成员，例如域、企业和架构管理员) ，并在其上应用固定的安全描述符。 记录此事件。
AI生成项目
c
运行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
4.4 账户登录事件
在域控制器上对域用户帐户进行身份验证时，将生成帐户登录事件， 事件记录在域控制器的安全日志中。
当本地用户在本地计算机上进行身份验证时，将生成登录事件。 事件记录在本地安全日志中。

事件ID        说明
672        已成功颁发和验证身份验证服务 (AS) 票证。
673        已授予 (TGS) 票证的票证授予服务。
674        安全主体续订了 AS 票证或 TGS 票证。
675        预身份验证失败。 当用户键入不正确的密码时，密钥分发中心 (KDC) 上生成此事件。
676        身份验证票证请求失败。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。
677        未授予 TGS 票证。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。
678        已成功映射到域帐户的帐户。
681        登录失败。 尝试了域帐户登录。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。
682        用户已重新连接到断开连接的终端服务器会话。
683        用户在未注销的情况下断开终端服务器会话的连接。
AI生成项目
c
运行

1
2
3
4
5
6
7
8
9
10
11