通过安全日志读取WFP防火墙放行日志

前言

之前的文档中,描写了如何对WFP防火墙进行操作以及如何在防火墙日志中读取被防火墙拦截网络通讯的日志。这边文档,着重描述如何读取操作系统中所有被放行的网络通信行为。
读取系统中放行的网络通信行为日志,在win10之后的操作系统上,也可以通过前一篇提到的读取阻断日志的方式进行读取(以FWPM_NET_EVENT0.type字段区分),但是在较老的系统中却不支持直接读取。为了保持系统兼容性,可以通过读取操作系统安全日志(EventId:5156)的方式进行网络通信日志的采集。

需要注意的坑点

  1. 查询放行日志时需要注意,每个网络通信行为在日志中只会出现一条放行记录,对应的筛选器ID,只会是首次对其进行审计的过滤器ID。因此,如果有其他权重更高的子层对网络连接进行了审计时,就无法通过筛选器ID匹配的方式获取。如果有这方面需求的话,解决方法只能是尽可能将自身子层的权重设为最高。
  2. 网络日志中读取连入行为时,WIN10/2016/2019源IP和目的IP字段与其它更早的操作系统相反,需要特殊处理。连出行为无异常。

开启审计

采用读取安全日志的方式进行网络事件获取,首先需要在系统中开启审计功能。在代码里面也有多种方式可以开启,之后会单开一篇文档进行描述,在这里先手动开启。

  • 打开本地安全策略(开始——运行——secpol.msc),依次打开:安全设置——本地策略——审核策略如图
    在这里插入图片描述

  • 在右侧窗口中打开 审核对象 标签页,勾选 “成功” 复选框后,点击保存,即可开启网络访问的审计功能
    在这里插入图片描述

  • 右键单击 “我的电脑”——“管理”——“计算机管理”——“系统工具”——“事件查看器”——“Windows日志”——“安全”中,查看5156日志即可。
    在这里插入图片描述

网络通信日志默认情况下是开启状态,为了以防万一,每次获取之前需要使用代码开启一次。使用代码的开启方式下次单开文档分享。

使用WMI方式进行查询

使用ReadEventLog进行查询

优点:兼容性高,可支持XP/2003操作系统。读取性能高。
缺点:无法做过滤,在大量日志中提取少量日志时效率较低
使用ReadEventLog读取Windows的安全日志只需要三步即可,1、打开EventLog句柄;2、使用ReadEventLog循环读取日志;3、关闭EventLog句柄。具体API描述如下。

打开EventLog句柄

    HANDLE OpenEventLog( LPCSTR lpUNCServerName, LPCSTR lpSourceName );
  • 输入参数
    • lpUNCServerName:远程服务器的名称。读取本地的话传入NULL即可。
    • lpSourceName:日志名称。这里读取安全日志传入“Serurity”。其他对应值:系统日志“System”,应用程序日志“Application”
  • 输出参数
    • 返回日志读取句柄。在ReadEventLog中使用,需要调用CloseEventLog手动关闭。

读取日志

BOOL ReadEventLog( HANDLE hEventLog, DWORD dwReadFlags, DWORD dwRecordOffset, LPVOID lpBuffer, DWORD nNumberOfBytesToRead, DWORD *pnBytesRead, DWORD *pnMinNumberOfBytesNeeded );
  • 输入参数

    • hEventLog:需要读取日志的句柄,就是刚才OpenEventLog返回的那个
    • dwReadFlags:读取标志,可以选择从指定偏移读取(EVENTLOG_SEEK_READ)或按顺序读取(EVENTLOG_SEQUENTIAL_READ),也可以指定正序读取(EVENTLOG_FORWARDS_READ)或倒序读取(EVENTLOG_BACKWARDS_READ)
    • dwRecordOffset:当dwReadFlags中包含EVENTLOG_SEEK_READ时有效,表示开始的位置
    • lpBuffer:分配的缓冲区,由外部划分内存
    • nNumberOfBytesToRead:lpBuffer缓冲区的大小
    • pnBytesRead:返回接收字节数
    • pnMinNumberOfBytesNeeded:返回lpBuffer所需最小缓冲区大小。仅当lpBuffer过小时返回,可判断GetLastError()返回ERROR_INSUFFICIENT_BUFFER
      时有效。
  • 输出参数

    • 正常执行返回非0值,失败后返回0

    关闭EventLog句柄

BOOL CloseEventLog( HANDLE hEventLog );
  • 输入参数
    • hEventLog:事件句柄,由OpenEventLog返回
  • 输出参数
    • 成功与否,这玩意没啥好判断的。

关联结构体

typedef struct _EVENTLOGRECORD { DWORD Length; DWORD Reserved; DWORD RecordNumber; DWORD TimeGenerated; DWORD TimeWritten; DWORD EventID; WORD EventType; WORD NumStrings; WORD EventCategory; WORD ReservedFlags; DWORD ClosingRecordNumber; DWORD StringOffset; DWORD UserSidLength; DWORD UserSidOffset; DWORD DataLength; DWORD DataOffset; } EVENTLOGRECORD, *PEVENTLOGRECORD;
  • 参数说明
    • Length:当前结构体的长度,由于ReadEventLog是以内存块的方式返回,单次返回的内存块中可能包含多个,特别是为了节省资源,可能会在代码中刻意一次读取大量的EventLogRecord结构体。这些结构体在内存块中,就以Length参数作为分界线来进行分割

    • Reserved:保留,没有可以研究过用于啥

    • RecordNumber:日志序号,可配合ReadEventLog函数中的dwReadFlags参数和dwReadOffset参数设置读取的偏移地址

    • TimeGenerated:事件时间,转time_t就可以

    • TimeWrittern:日志写入时间,time_t格式

    • EventID:事件ID,最高两位代表严重性,第三位代表是否为系统事件,低16位代表在安全日志中可见的ID。

    • EventType:事件类型,

    • NumStrings:包含字符串数目

    • EventCategory:事件类别

    • ReservedFlags:保留

    • ClosingRecordNumber:保留

    • StringOffset:事件包含字符串起始地址的偏移。字符串按顺序依次在内存中存储,0长度的字符串代表结束。字符串的顺序,和在事件查看器中看到的顺序一致,如图
      在这里插入图片描述

    • UserSidLength/UserSidOffset: 用户SID的长度及偏移,与字符串类似

    • DataLength/DataOffset:数据部分的长度及偏移

参考代码

#include <iostream>
#include <windows.h>
#include <string>
#include <vector>#define MAX_EVENTLOG_READONCE   2048
void ReadLogsByReadEventLogAPI()
{LPBYTE pEventLogBuffer = new(std::nothrow) BYTE[MAX_EVENTLOG_READONCE];if (pEventLogBuffer == NULL){return;}ZeroMemory(pEventLogBuffer, MAX_EVENTLOG_READONCE);HANDLE hEventLog = OpenEventLog(NULL, L"Security");if (hEventLog == NULL){delete[] pEventLogBuffer;pEventLogBuffer = NULL;return;}DWORD dwMemoryLen = MAX_EVENTLOG_READONCE;DWORD dwReaded = 0, dwMiniMemoryNeeded = 0;while (true)//  -_-|||{BOOL isSucc = ReadEventLog(hEventLog, EVENTLOG_BACKWARDS_READ | EVENTLOG_SEQUENTIAL_READ, 0, pEventLogBuffer, dwMemoryLen, &dwReaded, &dwMiniMemoryNeeded);if (isSucc == FALSE && GetLastError() == ERROR_INSUFFICIENT_BUFFER && dwMiniMemoryNeeded){delete[] pEventLogBuffer;pEventLogBuffer = NULL;pEventLogBuffer = new (std::nothrow) BYTE[dwMiniMemoryNeeded];if (pEventLogBuffer == NULL){break;}ZeroMemory(pEventLogBuffer, dwMiniMemoryNeeded);dwMemoryLen = dwMiniMemoryNeeded;isSucc = ReadEventLog(hEventLog, EVENTLOG_BACKWARDS_READ | EVENTLOG_SEQUENTIAL_READ, 0, pEventLogBuffer, dwMemoryLen, &dwReaded, &dwMiniMemoryNeeded);}if (isSucc == FALSE){break;}int pos = 0;do {EVENTLOGRECORD* pTempRecord = (EVENTLOGRECORD*)(pEventLogBuffer + pos);__time32_t occurTime = pTempRecord->TimeWritten;int nEventId = pTempRecord->EventID & 0xffff;if (nEventId != 5156){pos = pos + pTempRecord->Length;continue;}std::vector<std::wstring> vecEventParam;LPBYTE pTempBuffer = (LPBYTE)pTempRecord + pTempRecord->StringOffset;int strCount = 0;while ((pTempBuffer < ((LPBYTE)pTempRecord + pTempRecord->Length)) && (strCount < pTempRecord->NumStrings)){int len = wcslen((wchar_t*)pTempBuffer);if (len == 0){break;}vecEventParam.push_back((wchar_t*)pTempBuffer);pTempBuffer = pTempBuffer + (len + 1) * sizeof(wchar_t);strCount++;}if (vecEventParam.size() > 10){std::wcout << "\n\n=========================================" << std::endl;std::wcout << L"Source:\t" << vecEventParam[3] << L"[" << vecEventParam[4] << L"]" << std::endl;std::wcout << L"Destination:\t" << vecEventParam[5] << L"[" << vecEventParam[6] << L"]" << std::endl;std::wcout << L"Protocol Code:\t" << vecEventParam[7] << std::endl;std::wcout << L"Process Id:\t" << vecEventParam[0] << std::endl;std::wcout << L"Process Name:\t" << vecEventParam[1] << std::endl;std::wcout << "=========================================\n\n" << std::endl;}pos = pos + pTempRecord->Length;} while (pos < dwReaded);}CloseEventLog(hEventLog);delete[] pEventLogBuffer;pEventLogBuffer = NULL;
}

输出截图
在这里插入图片描述

使用Evt系列API进行查询

优点:性能高,可自由配置过滤条件,方便在海量日志中检索,可读取的内容相当丰富
缺点:不支持xp/2003操作系统
Evt系列API涉及到的功能较多,如果只需要读取系统日志的话,只需要枚举、遍历、读取、关闭四步即可完成。

枚举当前日志

EVT_HANDLE EvtQuery( EVT_HANDLE Session, LPCWSTR Path, LPCWSTR Query, DWORD Flags );

遍历日志,获取下一条

BOOL EvtNext( EVT_HANDLE ResultSet, DWORD EventsSize, PEVT_HANDLE Events, DWORD Timeout, DWORD Flags, PDWORD Returned );

读取日志内容

BOOL EvtRender( EVT_HANDLE Context, EVT_HANDLE Fragment, DWORD Flags, DWORD BufferSize, PVOID Buffer, PDWORD BufferUsed, PDWORD PropertyCount );
  • 输入参数
    • Context:
    • Fragment:
    • Flags:
    • BufferSize:
    • Buffer:
    • BufferUsed:
    • PropertyCount:
  • 输出参数
    *

关闭枚举句柄

BOOL EvtClose( EVT_HANDLE Object );

实例代码


void parseEventXML(std::wstring wstrXML)
{std::wstring_convert<std::codecvt_utf8_utf16<wchar_t>> cv;std::string utfXML = cv.to_bytes(wstrXML);tinyxml2::XMLDocument rootXML;if (rootXML.Parse(utfXML.c_str()) != tinyxml2::XML_SUCCESS){return;}tinyxml2::XMLNode* rootNode = rootXML.FirstChild();if (rootNode == NULL){return;}std::string processId;std::string processName;std::string sourceAddress;std::string sourcePort;std::string destAddress;std::string destPort;std::string protocol;tinyxml2::XMLNode* eventNode = rootXML.FirstChildElement("Event");if (eventNode){tinyxml2::XMLElement* eventDataNode = eventNode->FirstChildElement("EventData");if (eventDataNode == NULL){return;}tinyxml2::XMLElement* dataNode = eventDataNode->FirstChildElement("Data");do {std::string strName = dataNode->Attribute("Name");if (_stricmp(strName.c_str(), "ProcessID") == 0){processId = dataNode->GetText();}else if (_stricmp(strName.c_str(), "Application") == 0){processName = dataNode->GetText();}else if (_stricmp(strName.c_str(), "SourceAddress") == 0){sourceAddress = dataNode->GetText();}else if (_stricmp(strName.c_str(), "SourcePort") == 0){sourcePort = dataNode->GetText();}else if (_stricmp(strName.c_str(), "DestAddress") == 0){destAddress = dataNode->GetText();}else if (_stricmp(strName.c_str(), "DestPort") == 0){destPort = dataNode->GetText();}else if (_stricmp(strName.c_str(), "Protocol") == 0){protocol = dataNode->GetText();}dataNode = dataNode->NextSiblingElement("Data");} while (dataNode);std::cout << "\n\n=========================================" << std::endl;std::cout << "Source:\t" << sourceAddress << "[" << sourcePort << "]" << std::endl;std::cout << "Destination:\t" << destAddress << "[" << destPort << "]" << std::endl;std::cout << "Protocol Code:\t" << protocol << std::endl;std::cout << "Process Id:\t" << processId << std::endl;std::cout << "Process Name:\t" << processName << std::endl;std::cout << "=========================================\n\n" << std::endl;}
}void ReadLogsByEvtAPI()
{DWORD dwEventLogBufferLen = MAX_EVENTLOG_READONCE;LPBYTE pEventLogBuffer = new(std::nothrow) BYTE[MAX_EVENTLOG_READONCE];if (pEventLogBuffer == NULL){return;}ZeroMemory(pEventLogBuffer, MAX_EVENTLOG_READONCE);std::wstring wstrQuery = std::wstring(L"<QueryList>"L"	<Query>"L"		<Select>Event/System[EventID=5156]</Select>"L"	</Query>"L"</QueryList>");EVT_HANDLE hResult = EvtQuery(NULL, L"Security", wstrQuery.c_str(), EvtQueryChannelPath | EvtQueryReverseDirection);if (hResult == NULL){delete[] pEventLogBuffer;pEventLogBuffer = NULL;return;}while (true) // -_-{EVT_HANDLE hEventArrs[MAX_PATH] = { 0 };DWORD dwReturnEvents = 0;BOOL isSucc = EvtNext(hResult, MAX_PATH, hEventArrs, INFINITE, 0, &dwReturnEvents);if (isSucc && dwReturnEvents){for (int eventPos = 0; eventPos < dwReturnEvents; eventPos++){DWORD dwBufferUsed = 0;DWORD dwPropertyCount = 0;int nBufferSize = dwEventLogBufferLen;ZeroMemory(pEventLogBuffer, nBufferSize);isSucc = EvtRender(NULL, hEventArrs[eventPos], EvtRenderEventXml, nBufferSize, pEventLogBuffer, &dwBufferUsed, &dwPropertyCount);if (isSucc == FALSE && GetLastError() == ERROR_INSUFFICIENT_BUFFER){delete[] pEventLogBuffer;pEventLogBuffer = NULL;dwEventLogBufferLen = dwBufferUsed + 2;pEventLogBuffer = new(std::nothrow) BYTE[dwEventLogBufferLen];if (pEventLogBuffer == NULL){break;}nBufferSize = dwEventLogBufferLen;ZeroMemory(pEventLogBuffer, dwEventLogBufferLen);isSucc = EvtRender(NULL, hEventArrs[eventPos], EvtRenderEventXml, nBufferSize, pEventLogBuffer, &dwBufferUsed, &dwPropertyCount);}if (isSucc){std::wstring strEventXML = std::wstring((wchar_t*)pEventLogBuffer);parseEventXML(strEventXML);}}}}if (pEventLogBuffer){delete[] pEventLogBuffer;pEventLogBuffer = NULL;}
}

输出截图
在这里插入图片描述

备注

实例代码中解析xml使用的是tinyxml2库,对应github地址为:https://github.com/leethomason/tinyxml2/tree/master
当前最新版(9.0.0)版本下载地址:https://download.csdn.net/download/QQ1113130712/88235095

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/45669.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

高阶数据结构-图

高阶数据结构-图 图的表示 图由顶点和边构成&#xff0c;可分为有向图和无向图 邻接表法 图的表示方法有邻接表法和邻接矩阵法&#xff0c;以上图中的有向图为例&#xff0c;邻接表法可以表示为 A->[(B,5),(C,10)] B->[(D,100)] C->[(B,3)] D->[(E,7)] E->[…

FPGA原理与结构——ROM IP的使用与测试

一、前言 本文介绍Block Memory Generator v8.4 IP核 实现ROM&#xff0c;在学习一个IP核的使用之前&#xff0c;首先需要对于IP核的具体参数和原理有一个基本的了解&#xff0c;具体可以参考&#xff1a; FPGA原理与结构——块RAM&#xff08;Block RAM,BRAM&#xff09;http…

供应链安全和第三方风险管理:讨论如何应对供应链中的安全风险,以及评估和管理第三方合作伙伴可能带来的威胁

第一章&#xff1a;引言 在当今数字化时代&#xff0c;供应链的安全性越来越受到重视。企业的成功不仅仅依赖于产品和服务的质量&#xff0c;还取决于供应链中的安全性。然而&#xff0c;随着供应链越来越复杂&#xff0c;第三方合作伙伴的参与也带来了一系列安全风险。本文将…

C#中的委托

目录 概述&#xff1a; 举例&#xff1a;​ 总结: 概述&#xff1a; 中文的角度来说:指的是把事情托付给别人或别的机构(办理)&#xff0c;造个句子&#xff1a;别人委托的事情&#xff0c;我们一定要尽力而为&#xff0c;不遗余力的去办成。 在C#中&#xff0c;委托是一种…

回归预测 | MATLAB实现GA-RBF遗传算法优化径向基函数神经网络多输入单输出回归预测(多指标,多图)

回归预测 | MATLAB实现GA-RBF遗传算法优化径向基函数神经网络多输入单输出回归预测&#xff08;多指标&#xff0c;多图&#xff09; 目录 回归预测 | MATLAB实现GA-RBF遗传算法优化径向基函数神经网络多输入单输出回归预测&#xff08;多指标&#xff0c;多图&#xff09;效果…

CoordAtt注意力网络结构

源码&#xff1a; import torch import torch.nn as nn import math import torch.nn.functional as Fclass h_sigmoid(nn.Module):def __init__(self, inplaceTrue):super(h_sigmoid, self).__init__()self.relu nn.ReLU6(inplaceinplace)def forward(self, x):return self.…

VSCode\PyCharm23.2+PyQGIS插件开发配置相关要点

近期利用VSCode\PyCharmPyQGIS进行插件开发&#xff0c;现将要点总结一下&#xff1a; 一、VSCode&#xff0c;我没有配置成功&#xff0c;主要是最后一个阶段调试的时候老是不成功。以后会持续关注。但是有几个要点&#xff1a; 1、VSCodePyQIS开发&#xff0c;智能提示的设…

jmeter模拟多用户并发

一、100个真实的用户 1、一个账号模拟100虚拟用户同时登录和100账号同时登录 区别 &#xff08;1&#xff09;1个账号100个人用&#xff0c;同时登录&#xff1b; &#xff08;2&#xff09;100个人100个账号&#xff0c;同时登录。 相同 &#xff08;1&#xff09;两个都…

机器学习之概率论

最近&#xff0c;在了解机器学习相关的数学知识&#xff0c;包括线性代数和概率论的知识&#xff0c;今天&#xff0c;回顾了概率论的知识&#xff0c;贴上几张其他博客的关于概率论的图片&#xff0c;记录学习过程。

SSH远程直连--------------Docker容器

文章目录 1. 下载docker镜像2. 安装ssh服务3. 本地局域网测试4. 安装cpolar5. 配置公网访问地址6. SSH公网远程连接测试7.固定连接公网地址8. SSH固定地址连接测试 在某些特殊需求下,我们想ssh直接远程连接docker 容器,下面我们介绍结合cpolar工具实现ssh远程直接连接docker容器…

线性代数的学习和整理6:向量和矩阵详细,什么是矩阵?(草稿-----未完成)

43 矩阵 4.1 矩阵 4 整理网上总结一些 关于直击线性代数本质的 观点 矩阵的本质是旋转和缩放 矩阵里的数字0矩阵里的数字1&#xff0c;表示不进行缩放矩阵里的数字2等&#xff0c;表示缩放矩阵里的数字-3 表示缩放-3倍&#xff0c;并且反向矩阵里的数字的位置矩阵拆分为列向量…

C#与西门子PLC1500的ModbusTcp服务器通信2--ModbusTcp协议

Modbus TCP是近年来越来越流行的工业控制系统通信协议之一&#xff0c;与其他通信协议相比&#xff0c;Modbus TCP通信速度快、可靠性高、兼容性强、适用于模拟或数字量信号的传输&#xff0c;阅读本文前你必须比较熟悉Modbus协议&#xff0c;了解tcp网络。 一、什么是Modbus …

初阶c语言:实战项目三子棋

前言 大家已经和博主学习有一段时间了&#xff0c;今天讲一个有趣的实战项目——三子棋 目录 前言 制作菜单 构建游戏选择框架 实现游戏功能 模块化编程 初始化棋盘 打印棋盘 玩家下棋 电脑下棋 时间戳&#xff1a;推荐一篇 C语言生成随机数的方法_c语言随机数_杯浅…

Delegates.observable追踪观察可变数据更新,Kotlin

Delegates.observable追踪观察可变数据更新&#xff0c;Kotlin import kotlin.properties.Delegates import kotlin.reflect.KPropertyclass Person {var name: String by Delegates.observable("fly") { prop: KProperty<*>, old: String, new: String ->p…

虚幻官方项目《CropOut》技术解析 之 程序化岛屿生成器(IslandGenerator)

开个新坑详细分析一下虚幻官方发布的《CropOut》&#xff0c;文章会同步发布到我在知乎|CSDN的专栏里 文章目录 概要Create Island几何体生成部分随机种子Step 1Step 2Step 3Step 4Step 5Step 6 岛屿材质部分动态为草地设置颜色 程序设计的小技巧其它Platform Switch函数 概要 …

Android OpenCV(七十四): Android OpenCV SDK 升级至 4.8.0

前言 如昨日文章所述,OpenCV 4.8.0 已经发布,虽然系列文章已经停更很久,但是版本升级工作笔者是很乐意快速完成的。 OpenCV 4.8.0 Android SDK:https://github.com/opencv/opencv/releases/download/4.8.0/opencv-4.8.0-android-sdk.zip 更新日志:https://github.com/o…

安防视频汇聚平台EasyCVR视频监控综合管理平台H.265转码功能更新,新增分辨率配置的具体步骤

安防视频集中存储EasyCVR视频监控综合管理平台可以根据不同的场景需求&#xff0c;让平台在内网、专网、VPN、广域网、互联网等各种环境下进行音视频的采集、接入与多端分发。在视频能力上&#xff0c;视频云存储平台EasyCVR可实现视频实时直播、云端录像、视频云存储、视频存储…

Open3D 进阶(5)变分贝叶斯高斯混合点云聚类

目录 一、算法原理二、代码实现三、结果展示四、测试数据本文由CSDN点云侠原创,原文链接。如果你不是在点云侠的博客中看到该文章,那么此处便是不要脸的爬虫。 系列文章(连载中。。。爬虫,你倒是爬个完整的呀?): Open3D 进阶(1) MeanShift点云聚类Open3D 进阶(2)DB…

shell脚本之循环语句

循环语句 循环含义 将某代码段重复运行多次&#xff0c;通常有进入循环的条件和退出循环的条件 for循环语句 一般知道循环次数使用for循环 第一类 格式1&#xff1a; for名称 in 取值次数;do;done; 格式2&#xff1a; for 名称 in {取值列表} do done# 打印20次 for i i…

[MySQL]02关于事务的解析

目录 原子性 一致性 持久性 隔离性 事务隔离级别 并发执行可能存在问题 脏读问题 不可重复读 幻读 难点解析 原子性 事务最核心的就是原子性 以前人们认为原子不可再分&#xff0c;用原子性来表示一个事务不可分割 update account set balancebalance-500 where nam…