windows 工具化日志分析
windows的日志与linux不同,linux以文本形式存放于/var/log下,而windows的日志是专有格式evtx遂分析方式也不同于常见linux日志常见由Windows日志查看器Eventvwr开启,也有其他的第三方日志分析工具
windows日志分析重点是事件id,一般分析也围绕着这些id展开,常见id
| 4624 | 失败登入 |
|---|---|
| 4625 | 成功登入 |
| 4634/4647 | 成功注销 |
| 4648 | 凭证登入 |
| 4672 | 超级用户登入 |
| 4720 | 用户创建 |
| 7036 | 服务状态更改 |
APT-Hunter
类似一种格式转化器,使用方式
APT-Hunter.exe -p 文件地址
https://github.com/ahmedkhlief/APT-Hunter
用不惯,但是可以通过他先看到一些基础信息
WELA (Windows Event Log Analyzer) ゑ羅
个人觉得相当好用的一个日志查看器,是一个ps脚本,能将log解析后图形化输出
快速事件统计
./WELA.ps1 -LogFile .\Security.evtx -SecurityEventID_Statistics
.\WELA.ps1 -logfile C:\Users\Administrator\Desktop\log\安全.evtx -SecurityLogonTimeline -OutputGUI -UTC
拿做过的一道响应题举例,这里对攻击者ip与所使用的账户定位都变得非常方便
hayabusa
这个工具应该也是开发ゑ羅的开发者开发的,相比其更加强大