Loading

Windows 日志分析工具

参考:https://www.jianshu.com/p/728f503a2398

简介

本节介绍常用的 Windows 系统日志分析工具,侧重介绍工具使用,而关于如何使用工具进行日志分析与日志分析技巧要点,暂不涉及、见后文。

本节介绍的两种日志分析工具:

  • 通用检索工具,侧重于日志检索。

  • 威胁分析工具,侧重于对日志进行整合、识别日志中的威胁事件。

使用难度(低、中、高):工具的入手难度,以及完全发挥该工具功能的难度。

功能价值(低、中、高):该工具能够提供的功能的价值大小,针对日志检索,能够直观展示、便捷筛选、复杂条件筛选等为高价值功能。

例如:LogParser(中高,高) 代表该工具入门难度中,精通难度高;功能强。

本文所介绍的工具皆为开源免费,功能较强但无破解版的收费软件不在此涉及。例如 Event Log Explorer

导出系统日志

关于如何导出日志:

  1. 系统命令直接拷贝。

    xcopy C:\Windows\System32\winevt\Logs %USERPROFILE%\Desktop\mylogs1\ /E/-Y 将系统日志复制到 mylogs1 文件夹下。

  2. 使用资源管理器打开 C:\Windows\System32\winevt\Logs,直接复制该文件夹。

  3. 事件查看器导出日志。

    image-20221207130040951

通用检索工具

FullEventLogView(低中、中)

https://www.nirsoft.net/utils/full_event_log_view.html

特点在于直观展示、图形化操作,可以将所有类型日志进行整合,便于按照时间统一分析所有日志,此外具有一定的检索功能。

可以分析该主机日志、导出日志、以及连接到远程主机分析日志。

image-20221207152229949

使用前设置:

  • 可以开启 Show Event Strings In Columns,以展示事件的更多信息,便于查阅。

    image-20221207152109310

    Advanced Options 中设置展示日志时间,默认为 7天。

    image-20221207155130990

    选择日志源。

    image-20221207155446920

LogParser(中高,高)

https://www.microsoft.com/en-us/download/details.aspx?id=24659

该工具可以使用 SQL 语句对日志进行筛选。并多种格式导出到文件,或 GUI 可视化输出。

可以直接筛选本机日志,也可以对导出的日志进行筛选。

  1. LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM security" 筛选本机日志
  2. LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 日志文件路径"

查看登录成功与登录失败日志。

LogParser.exe -i:EVT -o:DATAGRID "SELECT recordNumber,timeGenerated,eventId,eventType,eventTypeName,computerName,string,message FROM security where EventId in (4625;4624)"

image-20221207112444703

若想对该 gui 界面显示的日志进行检索,只能将其全选复制到 excel 文件中,再进行检索。

LogParser 整合工具(低、中)

该工具可能会报毒,建议在自己主机上运行。

使用难度(低),功能强度(中)

https://github.com/dogadmin/windodws-logs-analysis

该工具对常见安全事件的 logparser 查询语句进行整合并提供图形化操作界面。

优点在于易用,缺点在于不够灵活,例如同时查看登录成功与失败日志,以定位是否存在爆破成功。

image-20221207114104895

工具目录结构如下,windowslog.exe 用于分析主机日志,而 windowslog-local.exe 可以用来离线分析导出的日志(将其放置于 c:\log\ 目录下)。

image-20221207130155183

系统自带 event viewer(中、低)

系统自带的事件查看器,其使用 xpath 语法。优点在于系统自带,无需导入任何工具。

例如要检索 EventID 为4624 ,且 LogonType 为 2 的日志。

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
      ...
      <EventID>4624</EventID> 
      ...
    </System>
    <EventData>
      ...
      <Data Name="LogonType">2</Data> 
      ...
    </EventData>
</Event>

xpath 查询语法如下,值得注意 @ 符代表着节点属性,@Name 代表着 Name 这一属性。

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[EventID=4624] and EventData[Data[@Name='LogonType']='2']]
    </Select>
  </Query>
</QueryList>

威胁分析工具

基本都可以把 windows 日志导出后,离线分析。

APT-Hunter(低、中)

https://github.com/ahmedkhlief/APT-Hunter

该工具分析 Windows 日志,将其输出为易于阅读的表格文档格式,此外该工具附带一定的威胁检测能力,可以分析多种日志文件(system、security 等)。

运行方式,任选其一:

  1. 将日志导出到文件夹后,离线分析。APT-Hunter.exe -p 日志文件夹目录 -tz local
  2. APT-Hunter.exe -p C:\Windows\System32\winevt\Logs -tz local 因为直接访问日志文件,因此需要以管理员形式运行。

运行后会生成三个文件。

  1. Report.xlsx 为主要输出内容,将常见的日志按照子表的格式导出。

    值得注意的是该工具输出的时间未完全排序,进行查前最好按照 timestamp 列进行排序。以及调整排版。

  2. Logon_Events.csv 主要记录登录相关事件。

    默认排版不便阅读,可以对行高进行设置为14磅。

  3. TimeSketch.csv 将不同类型的日志进行整合,例如 system 服务安装日志与 security 登录日志。该整合功能较弱,可能遗漏部分类型日志,一般不太关注。

Windows Event Log Analyzer(低中、中)

https://github.com/Yamato-Security/WELA

ps 脚本,可以用来分析登录日志以及具有一定威胁检测能力,可导入外部威胁检测规则。可以以 GUI 形式显示,也可以 csv 格式导出。分析两种日志文件 Microsoft-Windows-NTLM%4Operational.evtxSecurity.evtx

该工具相较于 APTHunter ,特点在于可以整合登录、注销日志,展现账号登录时长,对登录认证数据进行统计。

可能主机策略禁止执行 powershell,此时可以临时进行更改,并在结束后更改回来即可。

get-executionpolicy
Set-ExecutionPolicy Unrestricted

结束之后,将策略还原。
Set-ExecutionPolicy 

建议将目标主机日志进行导出,在自己电脑上修改策略进行分析。

运行方式,任选其一:

  1. 导出相关日志,然后通过脚本进行分析。推荐。

  2. 将该脚本放置目标主机中,直接通过 -LiveAnalysis 选项自动读取本机日志。

  3. -RemoteLiveAnalysis 选项,可以通过 winrm 服务远程分析其它主机。

工具常用功能:

  1. .\WELA.ps1 -SecurityLogonTimeline -LogFile 日志文件路径 -English -HideTimezone -ShowLogonID -OutputCSV result.csv

    对登录成功、登出事件进行整合。

  2. .\WELA.ps1 -SecurityAuthenticationSummary -LogFile 日志文件路径 -English

    该选项对不同用户进行统计。

  3. .\WELA.ps1 -SecurityEventID_Statistics -LogFile 日志文件路径 -English -ShowLogonID -HideTimezone -OutputGUI

    对各种事件类型进行统计。

posted @ 2023-02-17 14:21  沉云  阅读(11703)  评论(0编辑  收藏  举报