本文是 i 春秋論壇作傢「精通linux開關機」表哥分享的技術文章，文章僅供學習參考。

簡介

事件日志發展至今，在Windows網絡操作系統，除瞭應用程序日志，安全日志、系統日志、Scheduler服務日志，還有網絡應用相關的 FTP日志、WWW日志、DNS服務器日志。

事件日志可記錄系統中硬件、軟件和系統問題的信息，還可監視系統中發生的事件，記錄敏感操作關鍵信息，有助於提高系統的網絡安全性，幫助系統安全工作人員找到安全事件的根本原因。

事件查看器

事件查看器(eventvwr.msc)由微軟開發，內置於Microsoft Windows NT操作系統中的組件。它讓用戶能夠透過系統管理員的身份來查看所使用或遠程電腦的所有事件。Windows Vista中的事件查看器則重新設計過。

Windows主要有以下三類日志記錄系統事件：應用程序日志、系統日志和安全日志。

前兩者，存儲著故障排除信息，對於系統管理員更為有用；後者，記錄著事件審計信息，包括用戶驗證（登錄、遠程訪問等）和特定用戶在認證後對系統做瞭什麼，對於調查人員而言，更有幫助。

1、系統日志

系統日志記錄操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據丟失錯誤等。系統日志中記錄的時間類型由Windows NT/2000操作系統預先定義。

默認位置： %SystemRoot%System32WinevtLogsSystem.evtx

2、應用程序日志

應用程序日志包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件，例如數據庫程序可以在應用程序日志中記錄文件錯誤，程序開發人員可以自行決定監視哪些事件。如果某個應用程序出現崩潰情況，那麼我們可以從程序事件日志中找到相應的記錄，也許會有助於你解決問題。

默認位置：%SystemRoot%System32WinevtLogsApplication.evtx

3、安全日志

安全日志記錄系統的安全審計事件，包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。安全日志也是調查取證中最常用到的日志。默認設置下，安全性日志是關閉的，管理員可以使用組策略來啟動安全性日志，或者在註冊表中設置審核策略，以便當安全性日志滿後使系統停止響應。默認位置：%SystemRoot%System32WinevtLogsSecurity.evtx

4、審核設置建議

從Windows 10 版本1809開始，默認啟用審核登錄。在過往Windows版本中，默認僅啟用成功。

Windows Server 2016，Windows Server 2012 R2，Windows Server 2012，Windows Server 2008 R2，在默認狀態下並未啟用 ，僅記錄一些簡單的日志，日志默認大小20M。建議開啟審核策略，若日後系統出現故障、安全事故則可查看系統的日志文件，排除故障，追查入侵者信息等。

f2bb01e94e84349eb4b393ffd667176c

更多細節可見：http://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations

5、啟用審核配置

Windows Server 2008系統的審核功能在默認狀態下並沒有啟用。

系統默認審核策略，如下圖所示：

937ce80b405fbb6f6394881c437a2071

6、合理的日志屬性

在部分基線檢查中要求保留90天以上系統日志，這些日志可為日後系統故障排除故障、安全事故追查入侵者提供依據。

系統默認日志屬性，如下圖所示：

日志分析

通過分析日志尋找入侵痕跡工作量較大，掌握必要的技巧較為關鍵。過濾掉許多毫無價值的數據泥潭，有助於快速定位入侵事件。首要的過濾依據是EVENT ID，例如黑客對系統進行RDP爆破，系統將在安全日志裡記錄探測者探測時所用的IP、時間、用戶名等，在安全日志中以EVENT ID=4625進行查看事件屬性。

查看事件屬性，效果如下圖所示：

常用作快速定位的事件ID還有許多，以下表格是常用的事件說明：

9c5f786ebca8a0ce680be9852d9dc177

每個成功登錄的事件都會標記一個登錄類型，不同登錄類型代表不同的方式：

更多細節可見：http://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

快速提取關鍵事件(時間倒敘)可用powershell命令：Get-WinEvent -FilterHashtable @{LogName='Security';ID='4624'} 以及 Get-WinEvent -FilterHashtable @{LogName='Security'}

快速提取關鍵事件，效果如下圖所示：

相關工具

1、Log Parser

下載地址：http://www.microsoft.com/en-us/download/details.aspx?id=24659

使用示例：http://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

Log Parser由微軟公司出品，其功能強大，使用簡單，可以分析基於文本的日志文件、XML 文件、CSV（逗號分隔符）文件，以及Microsoft Windows操作系統的事件日志、註冊表、文件系統、Active Directory。

Log Parser 使用 SQL語法查詢分析日志，甚至可以把分析結果以各種圖表的形式展現出來。

• 基本查詢結構