【Windows取证篇】Window日志分析基础知识（一）

Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核，一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能，我们在系统审计取证分析时，可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

1、实验环境

Windows 11 专业工作站版，[v23H2（22631.2506）]

（一）Windows日志基础

1、Windows日志查看方法

【路径：事件查看器->Windows日志】

1）搜索框直接搜索"事件查看器"打开。

2）快捷键"Window+R"运行输入"eventvwr"或"eventvwr.msc"可打开"事件查看器"界面。

2、Windows日志记录类型

通过系统自带的事件查看器可查看Windows日志文件每个记录事件的数据结构一般包含9个元素：来源(S)、记录时间(D)、事件ID(E)、任务类别(Y)、级别(L)、关键字(K)、用户(U)、计算机®、操作代码(O)。

3、Windows日志数据大小

Windows系统内置"System（系统）、Security（安全）、Application（应用、程序）"的三个核心日志文件默认大小均为**20480KB（约20MB），当日志文件数据记录超过20MB时会覆盖掉过期的日志记录；其他的应用程序以及服务日志默认大小均为1028KB**（约1MB），默认超过这个大小同样按需要覆盖事件（旧事件优先覆盖）。

【路径：事件查看器->Windows日志->应用程序->属性】

点击即可查看到应用程序日志属性默认的设置参数，即日志路径、创建时间、修改时间、访问时间、日志最大大小、达到事件日志覆盖阀值等操作等。

4、Windows日志储存位置

【%SystemRoot%\System32\winevt\Logs】

%SystemRoot%：指代操作系统的"系统目录"或者"根目录"，默认系统安装是在C盘；可以通过输入cmd命令"echo %systemroot%“查看，win7之后一般是**”C:\Windows"**。

【Windows 2000 / Server2003 / Windows XP安全日志默认位置：C:\WINDOWS\System32\config\SecEvent.Evt】

名称	说明
系统日志（System.evtx）	系统日志包含由Windows系统组件记录的事件，记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障，记录的事件类型也是预先确定的。
应用程序日志（Application.evtx）	应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动，它审核的事件包括所有应用程序产生的错误以及其他报告的信息，如性能监视审核的事件或一般程序事件。记录事件的种类大致有：硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。
安全日志（Security.etvx）	安全日志记录各种系统审核和安全处理，包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销，如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型，安全日志只有系统管理员可以访问。