Windows日志浅析

Windows日志浅析(转载)

一、概述

Windows日志从Windows2000版本后共包括9种审计策略，Windows NT只有7种共分为：帐户登录、登录、对象访问、目录服务访问、进程追踪、特权使用、帐

户管理、策略变更、系统事件9大类。

其中帐户登录其实是对登录用户的认证事件，据大神Randy自己说，称其为“认证事件“更为合适。登录事件记录的是用户登录到哪台PC的事件。对象访问记录的是用户对Windows对象的访问事件，这里对象包括注册表、服务、打印机、文件/文件夹等。目录服务访问就是对AD中所有对象的访问事件。进程追踪则为主机执行的程序事件，不管是由用户自己执行还是系统自动执行的。特权使用指用户使用分配的特权的事件，这里特权指在本地安全策略中分配给用户的权限。帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件。策略变更指本地安全策略或DC上信任关系变化的事件。系统事件则涉及到一些安全事件的杂项，如系统的启动和关闭、系统事件修改等等。

每个windows日志都由两部分组成：头字段和描述字段。

头字段是相对内容和格式都固定的部分，包括的信息有：事件的id、日期和时间、事件的结果（成功还是失败）、事件的来源和类别。由于安全日志所有的来源都记为“source”，因此意义不大。而类别就是（一）中提到的9种类别。这里的用户字段用处也不是很大，因为很多事件简单地记为“STSTEM”为用户，所以真正要看是什么用户触发了该条日志还是要看描述字段里面是否有相应的实际用户（这些在随后的日志分析中会涉及到）。

很多时候我们需要详细分析描述字段中的信息，这部分出现的信息也会随具体的事件而不同，但是其形式都是为一系列组合信息，每个组合信息是一个内容固定的描述信息（类似占位符的作用），以及后面的动态信息。举个例子来说：ID680事件的描述字段包括：“Logon account: Administrator”。这里“Logon account:”是固定的前置字段占位符，而后面的“Administrator”则是真实的实例名称，会根据实际的情况而变化。我们可以打开本地的一条日志，点击描写字段部分的蓝色链接，联网的情况下可以查看到微软的支持中心中对该条日志的详细说明，其中的Message字段通常为以下的内容，很容易看到ID为567的这条日志的描述字段包括7个字段信息，说明其中有7个变量存在，其内容由实际情况生成。

Object Access Attempt:

Object Server: %1

Handle ID: %2

Object Type: %3

Process ID: %4

Image File Name: %5

Accesses: %6

Access Mask: %7

因此从上面可以看到很多关键的信息其实都隐藏在描述字段信息中，需要进行仔细地分析！最后再简单地说下windows自身存储策略的设置：根据Randy大神的经验，最大不要超过199M，200M的话可能会对windows的性能和稳定性有一定影响（这点不好进行实验验证）。此外不论配置最大空间为多少，迟早会有满的时候。所以Randy建议选择“不改写事件（手动地清除）”选项，此时一旦日志大小达到上限，windows会停止记录事件。当选择“改写久于X天的事件“时，如果事件的产生速度很快，在未过期前就达到了上限，windows同样是停止记录日志直到某些日志过期。以下是网上对于这些保存设置的说明和建议，所以如何设置也是在安全性、易维护性等方面权衡了

最后我们还可以把日志事件另存为本地文件查看，其中txt和csv格式可以较为方便地直接查看，而evt格式需要专门的软件来查看，如LogParser。因此在日志量很多的情况下，还是建议由专门的日志管理产品来完成此功能。

二、日志分析

从windows2000开始，审核策略选项里面涉及到登录的有两项：分别是“审核帐户登录事件”和“审核登录事件”。那么有些人可能不太明白了，为什么用户的登录要有两类事件来记录呢？ok，这里简单的解释一下。在windows2000之前，例如NT的时候windows系统只审核登录事件。这样如果使用域帐户登录某台工作站的话，域控服务器（DC）上是没有该用户的登录记录的，只会记录在被访问的工作站上（当然前提是工作站开启了登录审核）。因此DC不记录域用户的认证活动使得想要对域用户的登录活动进行监控十分困难，得收集整个网络中所有工作站和服务器的安全日志。因此呢，微软从windows2000开始增加了一个新的特色功能，也就是“审核帐户登录事件”。但是这个叫法与原来的“审核登录事件”很像，容易让人产生混淆。因此Randy大神认为称之为“审核认证事件”更为恰当！也就是说在windows中认证和登录活动是相关但是不同的两个活动，特别是在它们发生在不同的系统上时表现更为明显！

因此想要有效地使用这两个审计策略，需要很好地理解相关的原理，明白在

windows系统中认证和登录是如何发生的。另一个容易让人混淆的是登录使用帐户的类型，是本地还是域帐户，因为这会影响到什么事件记录在哪些系统上。接下

来就对windows帐户类型简单介绍下。

windows系统支持两种帐户类型：域帐户（存储在AD中）和本地帐户（存储在本地的SAM文件中）。这样的话也很简单了，使用域帐户登录的话，由DC来完成对用户的认证；如果本地帐户登录的话则由要登录的工作站自己来完成认证。所以需要特别关注使用本地帐户的登录活动，因为攻击者通常会使用本地帐户来进行

登录尝试。

接下来我们看看windows的登录方式都有哪些。

windows一共支持5种登录会话类型，都分别描述了用户如何登入系统的方式。本地和域帐户都支持这5种类型。每种登录类型有一个对应的登录权限。登录帐户的类型和登录的方式都会影响到审核日志的具体内容和事件ID，每种类型及其权

限如下表所示：

当我们尝试网络登录登录时，比如访问某台主机的共享文件夹，工作站默认会再次使用用户登录时输入的凭证。但是用户也可以指定一个不同的本地或者域帐户，例如映射本地磁盘到某个共享文件夹时。

登录VS认证小结

因此，在windows中登录和认证是关联但是不同的两个活动。简言之登录活动发生在最终被访问的主机上，认证活动发生在存储用户帐户的主机上。也就是如果使用本地帐户登录某台主机，该主机同时“看到”认证和登录活动。如果是使用域帐户登录，那么DC可以“看到”认证活动，而被访问的真实主机只“看到”登

录活动。