Windows日志分析
一、事件查看器
在「事件查看器」中,可以查看系统中记录的所有事件日志。操作步骤如下:
1、打开 Windows 事件查看器
1、使用Windows + R快捷键打开「运行」对话框,输入eventvwr.msc,然后按回车键打开事件查看器。
2、在左侧导航栏,展开「Windows 日志」。
3、选择你想要查看的日志类别。
2、浏览事件日志
1、在事件查看器的左侧导航栏中,展开「Windows 日志」。
2、你会看到多个日志类别,如「应用程序」、「系统」、「安全」等。选择你想要查看的日志类别。
3、过滤事件
如果日志太多,可以使用过滤器来快速筛选有用信息:
1、在右侧窗格中,点击「筛选当前日志」。
2、根据需要选择过滤条件,例如:
- 记录时间:事件发生的时间范围。
- 事件级别:事件的严重程度,例如信息、警告或错误等。
- 事件 ID:指定事件的代码(Event ID)。
3、点击「确定」应用过滤器。
4、创建和管理自定义视图
如果你要持续关注某个问题,又不想重复设置筛选条件,可以创建一个自定义视图:
1、在右侧窗格中,点击「创建自定义视图」。
2、在「按日志」的下拉列表中,勾选要关
3、选择「事件级别」,点击「确定」。
4、为自定义视图命名,再次点击 确定。
- 如果需要调整自定义视图的筛选条件:可以右键点击该视图,选择「属性」>「编辑筛选器」进行修改。
- 当不再需要某个自定义视图时:可以右键点击该视图,选择「删除」即可轻松移除。
二、Windows 事件日志的类型和类别
1、事件日志类型
根据事件的重要性,事件日志可以分为以下5 种类型:
| 事件类型 | 描述 | 严重程度 | 示例 |
|---|---|---|---|
| 信息 | 记录正常运行的事件 | 低 | 服务启动成功 |
| 警告 | 提示潜在问题的事件 | 中等 | 磁盘空间不足 |
| 错误 | 表示出现严重问题的事件 | 高 | 系统崩溃 |
| 审核成功 | 记录安全审核成功的事件 | 低 | 成功登录 |
| 审核失败 | 记录安全审核失败过的事件 | 中等 | 无法访问网络资源 |
我们应该特别关注「警告」和「错误」类型的事件日志,它们通常和系统故障紧密相关。
2、事件日志类别
事件日志还根据来源和内容分为以下几个类别:
| 事件类别 | 描述 | 示例 |
|---|---|---|
| 应用程序 | 记录应用程序相关的事件 | 应用程序启动失败、应用程序崩溃 |
| 安全 | 记录系统安全相关的事件 | 登录尝试、文件访问、权限变更 |
| 系统 | 记录系统内核、驱动程序等相关的事件 | 内核错误、硬件故障、服务启动失败 |
| 安装 | 记录 Windows 组件、「Windows 更新」安装相关的事件 | 组件安装成功、更新下载失败 |
| 转发的事件 | 从其他设备转发过来的事件日志 | 远程服务器登录失败、网络连接中断 |
了解这些类别有助于在出现问题时迅速定位相关日志,缩小排查范围。
三、事件日志分析
事件日志通常包括以下这些信息:
日志名称:事件所属的类型。
来源:产生事件的应用或组件。
事件 ID:用于识别具体事件的编号。
级别:事件的严重程度,比如「信息」、「警告」和「错误」等。
用户:事件发生时的用户账户。
操作代码:也叫 OpCode,记录触发事件时所执行的操作。
记录时间:事件发生的具体时间。
任务类别:提供事件更多细节的分类。
关键字:用于分类事件的关键词,常见的有「经典」。
计算机:记录事件的计算机名称。
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明:
| 事件ID | 说明 |
|---|---|
| 4624 | 登录成功 |
| 4625 | 登录失败 |
| 4634 | 注销成功 |
| 4647 | 用户启动的注销 |
| 4672 | 使用超级用户(如管理员)进行登录 |
| 4720 | 创建用户 |
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:
| 登录类型 | 描述 | 说明 |
|---|---|---|
| 2 | 交互式登录(Interactive) | 用户在本地进行登录。 |
| 3 | 网络(Network) | 最常见的情况就是连接到共享文件夹或共享打印机时。 |
| 4 | 批处理(Batch) | 通常表明某计划任务启动。 |
| 5 | 服务(Service) | 每种服务都被配置在某个特定的用户账号下运行。 |
| 7 | 解锁(Unlock) | 屏保解锁。 |
| 8 | 网络明文(NetworkCleartext) | 登录的密码在网络上是通过明文传输的,如FTP。 |
| 9 | 新凭证(NewCredentials) | 使用带/Netonly参数的RUNAS命令运行一个程序。 |
| 10 | 远程交互(RemoteInteractive) | 通过终端服务、远程桌面或远程协助访问计算机。 |
| 11 | 缓存交互(CachedInteractive) | 以一个域用户登录而又没有域控制器可用 |
2、日志分析工具
Log Parser、LogParser Lizard、Event Log Explorer
四、Linux日志分析
常见的日志文件
/var/log/dmesg
此处应为/var/log/dmesg或/var/log/messages(取决于Linux发行版),它记录了内核在引导过程中或系统运行时的消息。
/var/log/auth.log
这个文件通常存在于Debian及其衍生版中,记录了所有与身份验证和授权相关的消息。在其他Linux发行版中,这些信息可能记录在/var/log/secure或/var/log/auth.log中。
/var/log/boot.log
记录了系统启动过程的详细信息,包括内核启动参数、服务启动顺序和任何启动期间的错误消息。
/var/log/daemon.log
这个日志通常记录后台服务(守护进程)的活动。不过,在许多现代Linux系统中,服务日志通常会被分开记录,而不是统一记录在这个文件中。
/var/log/kern.log
记录内核产生的日志信息,这些通常与系统的硬件交互、驱动程序以及内核模块有关。
/var/log/lastlog
记录所有用户的最近登录时间。这不是一个纯文本文件,但可以使用lastlog命令查看其内容。
/var/log/maillog 和 /var/log/mail.log
这些文件记录了邮件服务器的活动,如发送、接收邮件以及邮件传输代理(MTA)的状态和错误。
/var/log/user.log
这个日志通常不是标准的Linux日志文件。可能某些系统或应用自定义了这个名称来记录用户级日志信息。
/var/log/Xorg.x.log
记录X Window系统的日志信息,包括图形界面初始化、配置错误以及运行时的问题。
/var/log/btmp
记录失败的登录尝试。可以使用lastb命令来查看这个文件的内容。
/var/log/yum.log
记录了使用yum包管理器安装、更新或删除软件包时的活动。
/var/log/cron
记录了cron守护进程的活动,包括定时任务的启动、错误和输出。
/var/log/secure
在Red Hat及其衍生版中,这个文件记录了与安全相关的消息,如用户登录尝试、sudo命令的使用等。
/var/log/wtmp 和 /var/log/utmp
wtmp记录所有登录和注销事件的历史信息。utmp则包含当前登录系统的用户信息,可以使用who和w命令查看。
/var/log/faillog
记录失败的登录尝试次数,通常用于监控账户安全。
/var/log/httpd/ 和 /var/log/apache2/
这些目录包含了Web服务器(如Apache HTTP服务器)的访问日志、错误日志以及虚拟主机的日志。
/var/log/conman/
这个目录包含与conman(控制台管理器)相关的日志,conman用于管理远程控制台连接。
/var/log/mail/
这个子目录包含邮件服务器产生的其他日志,如邮件统计信息。
/var/log/audit/
包含Linux审计框架(auditd)的日志,用于记录和监控与安全相关的系统调用和事件。
/var/log/settroubleshoot/
SELinux使用这个日志记录与文件安全上下文相关的问题。
/var/log/samba/
包含与Samba服务相关的日志,Samba用于Windows和Linux之间的文件共享。
/var/log/sa/
包含由sysstat包收集的每日系统活动报告(通过sar命令生成)。
理解这些日志文件的内容和结构对于系统管理员和安全专家至关重要,因为它们提供了关于系统健康状况、用户行为和潜在威胁的宝贵信息。