wind胆囊ows日志浅析.docxVIP

一 从这篇文章开始本人开始结合Windows产品日志分析大神（RANDY FRANKLIN SMITH）的电子书，以及自己的实验对Windows操作系统的日志开始分析。也是对自己的一种激励，至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解，好了，废话不多说了，回归正题。 Windows日志从Windows2000版本后共包括9种审计策略，Windows NT只有7种（此次没验证，懒得装NT虚拟机了）。共分为：帐户登录、登录、对象访问、目录服务访问、进程追踪、特权使用、帐户管理、策略变更、系统事件9大类。 其中帐户登录其实是对登录用户的认证事件，据大神Randy自己说，称其为“认证事件“更为合适。登录事件记录的是用户登录到哪台PC的事件。对象访问记录的是用户对Windows对象的访问事件，这里对象包括注册表、服务、打印机、文件/文件夹等。目录服务访问就是对AD中所有对象的访问事件。进程追踪则为主机执行的程序事件，不管是由用户自己执行还是系统自动执行的。特权使用指用户使用分配的特权的事件，这里特权指在本地安全策略中分配给用户的权限。帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等对象的管理、密码设置等事件。策略变更指本地安全策略或DC上信任关系变化的事件。系统事件则涉及到一些安全事件的杂项，如系统的启动和关闭、系统事件修改等等。 二 9类审计策略大概的介绍就到这里，在随后的文章中会分别具体地说明，自己也尽可能在Windows2003操作系统进行验证。 在正式对每类事件进行分析前，先大概对windows的日志格式进行一个简单的介绍。 每个windows日志都由两部分组成：头字段和描述字段。 头字段是相对内容和格式都固定的部分，包括的信息有：事件的id、日期和时间、事件的结果（成功还是失败）、事件的来源和类别。由于安全日志所有的来源都记为“source”，因此意义不大。而类别就是（一）中提到的9种类别。这里的用户字段用处也不是很大，因为很多事件简单地记为“STSTEM”为用户，所以真正要看是什么用户触发了该条日志还是要看描述字段里面是否有相应的实际用户（这些在随后的日志分析中会涉及到）。 因此很多时候我们需要详细分析描述字段中的信息，这部分出现的信息也会随具体的事件而不同，但是其形式都是为一系列组合信息，每个组合信息是一个内容固定的描述信息（类似占位符的作用），以及后面的动态信息。举个例子来说：ID680事件的描述字段包括：“Logon account: Administrator”。这里“Logon account:”是固定的前置字段占位符，而后面的“Administrator”则是真实的实例名称，会根据实际的情况而变化。 我们可以打开本地的一条日志，点击描写字段部分的蓝色链接，联网的情况下可以查看到微软的支持中心中对该条日志的详细说明，其中的Message字段通常为以下的内容，很容易看到ID为567的这条日志的描述字段包括7个字段信息，说明其中有7个变量存在，其内容由实际情况生成。 Object Access Attempt:Object Server: %1Handle ID: %2Object Type: %3Process ID: %4Image File Name: %5Accesses: %6Access Mask: %7 因此从上面可以看到很多关键的信息其实都隐藏在描述字段信息中，需要进行仔细地分析！ 最后再简单地说下windows自身存储策略的设置：根据Randy大神的经验，最大不要超过199M，200M的话可能会对windows的性能和稳定性有一定影响（这点不好进行实验验证）。此外不论配置最大空间为多少，迟早会有满的时候。所以Randy建议选择“不改写事件（手动地清除）”选项，此时一旦日志大小达到上限，windows会停止记录事件。当选择“改写久于X天的事件“时，如果事件的产生速度很快，在未过期前就达到了上限，windows同样是停止记录日志直到某些日志过期。以下是网上对于这些保存设置的说明和建议，所以如何设置也是在安全性、易维护性等方面权衡了。 按需要改写事件 当日志已满时继续写入新的事件。每个新事件替换日志中时间最旧的事件。该选项对维护要求低的系统是一个不错的选择。 改写久于 [x]天的事件 保留位于指定改写事件的天数之前的日志。默认值为 7 天。如果您想每周存档日志文件，该选项是最佳选择。该策略将丢失重要日志项的几率降到最小，同时保持日志的合理大小。 不改写事件 手动而不是自动清除日志。只有在您无法承受丢失事件时才选中该选项（例如，特别强调安全性的站点的安全性日志）。 最后我们还可以把日志事件另存为本地文件查看，其中txt和csv格式可以较