【Windows取证篇】Window日志分析基础知识(一)
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
目录
1、实验环境
(一)Windows日志基础
1、Windows日志查看方法2、Windows日志记录类型3、Windows日志数据大小4、Windows日志储存位置5、Windows日志导出类型
1、实验环境
Windows 11 专业工作站版,[v23H2(22631.2506)] |
---|
(一)Windows日志基础
1、Windows日志查看方法
【路径:事件查看器->Windows日志】
1)搜索框直接搜索"事件查看器"打开。
2)快捷键"Window+R"运行输入"eventvwr"或"eventvwr.msc"可打开"事件查看器"界面。
2、Windows日志记录类型
通过系统自带的事件查看器可查看Windows日志文件每个记录事件的数据结构一般包含9个元素:来源(S)、记录时间(D)、事件ID(E)、任务类别(Y)、级别(L)、关键字(K)、用户(U)、计算机®、操作代码(O)。
3、Windows日志数据大小
Windows系统内置"System(系统)、Security(安全)、Application(应用、程序)"的三个核心日志文件默认大小均为**20480KB(约20MB),当日志文件数据记录超过20MB时会覆盖掉过期的日志记录;其他的应用程序以及服务日志默认大小均为1028KB**(约1MB),默认超过这个大小同样按需要覆盖事件(旧事件优先覆盖)。
【路径:事件查看器->Windows日志->应用程序->属性】
点击即可查看到应用程序日志属性默认的设置参数,即日志路径、创建时间、修改时间、访问时间、日志最大大小、达到事件日志覆盖阀值等操作等。
4、Windows日志储存位置
【%SystemRoot%\System32\winevt\Logs】
%SystemRoot%:指代操作系统的"系统目录"或者"根目录",默认系统安装是在C盘;可以通过输入cmd命令"echo %systemroot%“查看,win7之后一般是**”C:\Windows"**。
【Windows 2000 / Server2003 / Windows XP安全日志默认位置:C:\WINDOWS\System32\config\SecEvent.Evt】
| 说明 |
| 系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障,记录的事件类型也是预先确定的。 |
| 应用程序日志包含计算机系统中的用户程序和商业程序在运行时出现的错误活动,它审核的事件包括所有应用程序产生的错误以及其他报告的信息,如性能监视审核的事件或一般程序事件。记录事件的种类大致有:硬盘使用情况、数据库文件的文件错误、设备驱动程序加载失败、用户登录系统失败计数等。 |
| 安全日志记录各种系统审核和安全处理,包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销,如有效或无效的登陆尝试、与资源使用有关的事件。管理员有按需要指定安全日志中要记录的事件类型,安全日志只有系统管理员可以访问。 |
所以Windows11的Windows日志默认存放位置为【C:\Windows\System32\winevt\Logs】
5、Windows日志导出类型
Windows日志导出/保存类型有"evtx、xml、txt、csv"四种,默认存储evtx格式,可以选择全部导出或者单条日志文件导出。
支持保存的类型。
总结
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【日志分析】自动获取资源合集,如链接失效请留言,便于及时更新。
【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】
【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】
记录 |
---|
开始编辑:2023年 11月 13日 |
开始编辑:2024年 01月 17日 |
【往期精彩回顾】
▲ 【电子取证篇】蘇小沐的电子取证工具合集在线文档
▲ 【Windows取证篇】压缩包骗局,来自定制客户的计算机木马分析与TG黑灰产浅谈
▲ 【电子取证篇】WinHex入门教程合集,看这一篇就够了题
▲ 【电子取证篇】FTK Imager取证教程合集,看这一篇也够了(附下载)