Windows IIS 日志分析研究(Log Parser Log Parser Lizard Log Parser Studio) update...
?
Windows主要有以下三類日志記錄系統(tǒng)事件:應(yīng)用程序日志、系統(tǒng)日志和安全日志。
存放目錄:X:\Windows\System32\winevt\Logs\
System.evtx??系統(tǒng)日志
Application.evtx??應(yīng)用程序日志
Security.evtx? 安全日志
?
審核策略與事件查看器
#?管理工具 → 本地安全策略 → 本地策略 → 審核策略,參考配置操作:
?
#?設(shè)置合理的日志屬性,即日志最大大小、事件覆蓋閥值等:
?"Window+R",輸入 ”eventvwr.msc“?
?
?
事件日志分析
?
?
對(duì)于Windows事件日志分析,不同的EVENT ID代表了不同的意義,摘錄一些常見的安全事件的說明:
| 4624 | 登錄成功 |
| 4625 | 登錄失敗 |
| 4634 | 注銷成功 |
| 4647 | 用戶啟動(dòng)的注銷 |
| 4672 | 使用超級(jí)用戶(如管理員)進(jìn)行登錄 |
| 4720 | 創(chuàng)建用戶 |
每個(gè)成功登錄的事件都會(huì)標(biāo)記一個(gè)登錄類型,不同登錄類型代表不同的方式:
| 2 | c(Interactive) | 用戶在本地進(jìn)行登錄。 |
| 3 | 網(wǎng)絡(luò)(Network) | 最常見的情況就是連接到共享文件夾或共享打印機(jī)時(shí)。 |
| 4 | 批處理(Batch) | 通常表明某計(jì)劃任務(wù)啟動(dòng)。 |
| 5 | 服務(wù)(Service) | 每種服務(wù)都被配置在某個(gè)特定的用戶賬號(hào)下運(yùn)行。 |
| 7 | 解鎖(Unlock) | 屏保解鎖。 |
| 8 | 網(wǎng)絡(luò)明文(NetworkCleartext) | 登錄的密碼在網(wǎng)絡(luò)上是通過明文傳輸?shù)?#xff0c;如FTP。 |
| 9 | 新憑證(NewCredentials) | 使用帶/Netonly參數(shù)的RUNAS命令運(yùn)行一個(gè)程序。 |
| 10 | 遠(yuǎn)程交互,(RemoteInteractive) | 通過終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問計(jì)算機(jī)。 |
| 11 | 緩存交互(CachedInteractive) | 以一個(gè)域用戶登錄而 |
詳細(xì)的安全事件的說明:
?https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008
?
案例1:可以利用eventlog事件來查看系統(tǒng)賬號(hào)登錄情況:
在“開始”菜單上,依次指向“所有程序”、“管理工具”,然后單擊“事件查看器”;
在事件查看器中,單擊“安全”,查看安全日志;
在安全日志右側(cè)操作中,點(diǎn)擊“篩選當(dāng)前日志”,輸入事件ID進(jìn)行篩選。
4624 ?--登錄成功 ??
4625 ?--登錄失敗 ?
4634 -- 注銷成功
4647 -- 用戶啟動(dòng)的注銷 ??
4672 -- 使用超級(jí)用戶(如管理員)進(jìn)行登錄
我們輸入事件ID:4625進(jìn)行日志篩選,發(fā)現(xiàn)事件ID:4625,事件數(shù)175904,即用戶登錄失敗了175904次,那么這臺(tái)服務(wù)器管理員賬號(hào)可能遭遇了暴力猜解。
?
?
案例2:可以利用eventlog事件來查看計(jì)算機(jī)開關(guān)機(jī)的記錄:
1、在“開始”菜單上,依次指向“所有程序”、“管理工具”,然后單擊“事件查看器”;
2、在事件查看器中,單擊“系統(tǒng)”,查看系統(tǒng)日志;
3、在系統(tǒng)日志右側(cè)操作中,點(diǎn)擊“篩選當(dāng)前日志”,輸入事件ID進(jìn)行篩選。
其中事件ID 6006 ID6005、 ID 6009就表示不同狀態(tài)的機(jī)器的情況(開關(guān)機(jī))。
6005 信息 EventLog 事件日志服務(wù)已啟動(dòng)。(開機(jī))
6006 信息 EventLog 事件日志服務(wù)已停止。(關(guān)機(jī))
6009 信息 EventLog 按ctrl、alt、delete鍵(非正常)關(guān)機(jī)
?
我們輸入事件ID:6005-6006進(jìn)行日志篩選,發(fā)現(xiàn)了兩條在2018/7/6 17:53:51左右的記錄,也就是我剛才對(duì)系統(tǒng)進(jìn)行重啟的時(shí)間。
?
日志分析工具
Log Parser
Log Parser(是微軟公司出品的日志分析工具,它功能強(qiáng)大,使用簡(jiǎn)單,可以分析基于文本的日志文件、XML 文件、CSV(逗號(hào)分隔符)文件,以及操作系統(tǒng)的事件日志、注冊(cè)表、文件系統(tǒng)、Active Directory。它可以像使用 SQL 語(yǔ)句一樣查詢分析這些數(shù)據(jù),甚至可以把分析結(jié)果以各種圖表的形式展現(xiàn)出來。
Log Parser 2.2下載地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser 使用示例:https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
?
?
基本查詢結(jié)構(gòu)
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:xx.evtx"?#?登錄成功的所有事件
?LogParser.exe -i:EVT -o:DATAGRID? "SELECT *? FROM c:\xx\Security.evtx where EventID=4624"
?#?指定登錄時(shí)間范圍的事件
LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
#?提取登錄成功的用戶名和IP:
LogParser.exe -i:EVT? –o:DATAGRID? "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"
?
#?查詢登錄失敗的事件
LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:Security.evtx where EventID=4625"
?
# 提取登錄失敗用戶名進(jìn)行聚合統(tǒng)計(jì):
LogParser.exe? -i:EVT "SELECT? EXTRACT_TOKEN(Message,13,' ')? as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:Security.evtx where EventID=4625 GROUP BY Message"
?
# 系統(tǒng)歷史開關(guān)機(jī)記錄
?LogParser.exe -i:EVT –o:DATAGRID? "SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"
?
#?Log Parser Lizard
?
LPL Quick Query
Log Parser Lizard
http://www.lizard-labs.com/log_parser_lizard_installation_complete.aspx
?
--rem 運(yùn)行最慢的20個(gè)頁(yè)面??
select Top 20
date,time,s-ip,cs-method,cs-uri-stem,s-port,cs-username,c-ip,cs(User-Agent),sc-status,sc-substatus,sc-win32-status,time-taken
FROM D:\iislog\W3SVC799753000\u_ex190614.log
Order by time-taken Desc
?
--rem 訪問量最大的IP的訪問明細(xì)?
Select cs-uri-stem as [RequestURI],count(cs-uri-stem) AS VisitCounts,c-ip AS [ClientIP] FROM D:\iislog\W3SVC799753000\u_ex190614.log
GROUP BY cs-uri-stem,c-ip ORDER BY VisitCounts DESC
?
?
?Log Parser Studio
?https://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765
??待研究
?
?
?
參考資料:
https://www.secpulse.com/archives/106858.html
?
轉(zhuǎn)載于:https://www.cnblogs.com/Cong0ks/p/11024003.html
總結(jié)
以上是生活随笔為你收集整理的Windows IIS 日志分析研究(Log Parser Log Parser Lizard Log Parser Studio) update...的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 梦到葱是什么意思周公解梦
- 下一篇: java信息管理系统总结_java实现科