Windows事件日志浅析

一、简述

这篇文章由fj543进行过修改，补充。原文是某网友结合Windows产品日志分析大神（RANDY FRANKLIN SMITH）的电子书，及其自己的实验对Windows操作系统的日志进行分析的经验分享。也是对自己的一种激励，至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解。

Windows日志从Windows2000版本后共包括9种审计策略，Windows NT 只有7种（此次没验证，懒得装NT虚拟机了）。共分为：帐户登录、登录事件、对象访问、目录服务访问、进程追踪、特权使用、帐户管理、策略变更、系统事件9大类。

其中帐户登录其实是对登录用户的认证事件，据大神Randy自己说，称其为“认证事件“更为合适。登录事件记录的是用户登录到哪台PC的事件。对象访问记录的是用户对Windows对象的访问事件，这里对象包括注册表、服务、打印机、文件/文件夹等。目录服务访问就是对AD中所有对象的访问事件。进程追踪则为主机执行的程序事件，不管是由用户自己执行还是系统自动执行的。特权使用指用户使用分配的特权的事件，这里特权指在本地安全策略中分配给用户的权限。帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件。策略变更指本地安全策略或DC上信任关系变化的事件。系统事件则涉及到一些安全事件的杂项，如系统的启动和关闭、系统事件修改等等。

9类审计策略大概的介绍就到这里，在随后的文章中会分别具体地说明，自己也尽可能在Windows2003操作系统进行验证。

二、Windows日志格式

在正式对每类事件进行分析前，先大概对windows的日志格式进行一个简

单的介绍。

每个windows日志都由两部分组成：头字段和描述字段。

头字段是相对内容和格式都固定的部分，包括的信息有：事件的id、日期和时间、事件的结果（成功还是失败）、事件的来源和类别。由于安全日志所有的来源都记为“source”，因此意义不大。而类别就是（一）中提到的9种类别。这里的用户字段用处也不是很大，因为很多事件简单地记为“STSTEM”为用户，所以真正要看是什么用户触发了该条日志还是要看描述字段里面是否有相应的实

际用户（这些在随后的日志分析中会涉及到）。

因此很多时候我们需要详细分析描述字段中的信息，这部分出现的信息也会随具体的事件而不同，但是其形式都是为一系列组合信息，每个组合信息是一个内容固定的描述信息（类似占位符的作用），以及后面的动态信息。

举个例子来说：ID680事件的描述字段包括：“Logon account: Administrator”。这里“Logon account:”是固定的前置字段占位符，而后面的“Administrator”则是真实的实例名称，会根据实际的情况而变化。

我们可以打开本地的一条日志，点击描写字段部分的蓝色链接，联网的情况下可以查看到微软的支持中心中对该条日志的详细说明，其中的Message字段通常为以下的内容，很容易看到ID为567的这条日志的描述字段包括7个字段信息，说明其中有7个变量存在，其内容由实际情况生成。

因此从上面可以看到很多关键的信息其实都隐藏在描述字段信息中，需要进行仔细地分析！

最后再简单地说下windows自身存储策略的设置：根据Randy大神的经验，最大不要超过199M，200M的话可能会对windows的性能和稳定性有一定影响（这点不好进行实验验证）。此外不论配置最大空间为多少，迟早会有满的时候。所以Randy建议选择“不改写事件（手动地清除）”选项，此时一旦日志大小达到上限，windows会停止记录事件。当选择“改写久于X天的事件“时，如果事件的产生速度很快，在未过期前就达到了上限，windows同样是停止记录日志直到某些日志过期。以下是网上对于这些保存设置的说明和建议，所以如何设置也是在安全性、易维护性等方面权衡了。

最后我们还可以把日志事件另存为本地文件查看，其中txt和csv格式可以较为方便地直接查看，而evt格式需要专门的软件来查看，如LogParser。因此在日志量很多的情况下，还是建议由专门的日志管理产品来完成此功能。

ok，一些情况就简单介绍到这里，下面开始对每类事件进行较为详细的分析，Let’s go!

三、登录认证机制简介

ok，从本篇终于要开始对windows日志进行分析了，首先从最基本的登录活动开始。这也是任何日志分析最基础的开始，涉及到对用户活动的分析，总要从登录开始咯。等等，在开始这激动人心的时刻之前，我们还是想讲清楚windows 登录活动的一些原理，然后再分析相关的日志也不迟：）

从windows2000开始，审核策略选项里面涉及到登录的有两项：分别是“审核帐户登录事件”和“审核登录事件”。那么有些人可能不太明白了，为什么用户的登录要有两类事件来记录呢？ok，这里简单的解释一下（来自Randy大神，具体有待考证）。

在windows2000之前，例如NT的时候windows系统只审核登录事件。这样如果使用域帐户登录某台工作站的话，域控服务器（DC）上是没有该用户的登录记录的，只会记录在被访问的工作站上（当然前提是工作站开启了登录审核）。因此DC不记录域用户的认证活动使得想要对域用户的登录活动进行监控十分

困难，得收集整个网络中所有工作站和服务器的安全日志。因此呢，微软从windows2000开始增加了一个新的特色功能，也就是“审核帐户登录事件”。但是这个叫法与原来的“审核登录事件”很像，容易让人产生混淆。因此Randy大神认为称之为“审核认证事件”更为恰当！也就是说在windows中认证和登录活动是相关但是不同的两个活动，特别是在它们发生在不同的系统上时表现更为明显！

因此想要有效地使用这两个审计策略，需要很好地理解相关的原理，明白在windows系统中认证和登录是如何发生的。另一个容易让人混淆的是登录使用帐户的类型，是本地还是域帐户，因为这会影响到什么事件记录在哪些系统上。接下来就对windows帐户类型简单介绍下。

windows系统支持两种帐户类型：域帐户（存储在AD中）和本地帐户（存储在本地的SAM文件中）。这样的话也很简单了，使用域帐户登录的话，由DC来完成对用户的认证；如果本地帐户登录的话则由要登录的工作站自己来完