Windows event log là gì

 - 

Chào hầu như người, nay ngồi rảnh gõ mấy mẫu lưu lại sau nên tra cứu mang đến nhanh, hoàn toàn có thể các lên tiếng không đủ sót tuy nhiên phần lớn báo cáo này bản thân đã có lần làm việc với nó.

Bạn đang xem: Windows event log là gì

Loạt bài này bản thân sẽ viết một không nhiều bài về Điều tra phạm luật ANTT, gặp gỡ chiếc như thế nào viết loại kia với vẫn đi nhàn. Bài này còn có xem thêm (dịch thuật) bao gồm tổng hợp kinh nghiệm tay nghề + chỗ khác về "Windows Event Log Analysis" lâm thời dịch là "Kỹ thuật đối chiếu Event Log bên trên Windows", phiên bản gốc trên đây: https://www.appliedincidentresponse.com/windows-event-log-analyst-reference/


*

Hình 01 - Giao diện của Event Log bên trên Windows

Đầu tiên ra mắt về Event Log bên trên Windows thì nó là vị trí cơ mà phần đa hoạt động trên laptop được giữ gìn, ví như ai đăng nhập lệ sản phẩm công nghệ, singin thời hạn nào, đang hoạt động các bước gì, kết nối đi đâu,...số đông được gìn giữ. Đây cũng là gần như câu hỏi hay chạm chán trong sự việc điều tra tróc nã vết (thuật ngữ siêng ngành Gọi là forensic).

Một số log được bật (enabled) lên theo thông số kỹ thuật khoác định của Windows, một số trong những lại không được bât lên (disabled) rất có thể vày log ghi ra vô số tạo chỉ chiếm tài nguim khối hệ thống. Ví dụ như log đăng nhập, kết nối thì được enabled mang định còn log gặm sản phẩm ngoại vi qua Output USB thì lại bị disabled. Để nhảy lên các chúng ta có thể cấu hình vào registry của hệ điều hành.

Mình đang tổng vừa lòng một vài văn bản sau:

1. Định dạng kết cấu của Event Log.

2. Một số log hay chạm mặt - định danh qua ID (tất cả bổ sung cập nhật dần).

Nội dung bỏ ra tiết:

1. Định dạng kết cấu của event log:

Event Log của Windows được lưu trữ sinh sống thư mục khoác định trên đường dẫn %SystemRoot%System32winevtlogs, những bạn cũng có thể truy vấn vào thẳng đường truyền hoặc xem qua trình Event Viewer, để bật trình Event Viewer bạn có thể vào RUN gõ keyword "eventvwr".

Cấu trúc của log bao gồm các ngôi trường sau:


*

Hình 01 - Các ngôi trường vào Event Log
*

*

*

Hình 04 - Các Event ID liên quan singin, đăng xuất tài khoản

2.3) Event về truy cập mô tả folder/object: mặc định log này sẽ không được lưu giữ, nhằm bật log này các bạn truy cập vào "Group Policy Management" để chỉnh sửa (vào RUN gõ gpedit.msc nhằm mlàm việc Group Policy), đường truyền cấu hình: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced phân tích và đo lường Policy Configuration -> Audit Policies -> Object Access -> Audit File Share.

Các Event ID mang lại Object Sharing bao gồm ID tự 5140 mang đến 5145.

2.4) Event về Scheduled Task: những event liên quan mang đến lập lịch.


Hình 05 - Các Event ID liên quan Scheduled Task trên Windows

2.5) Event về thống trị cơ chế (policy audit): ra đời khi những biến đổi policy bên trên laptop.

Event ID tương quan về policy gồm ID là 1102 cùng 4719.

2.6) Event về những hình thức dịch vụ trên windows (windows service): sinh ra Khi liên quan các hình thức dịch vụ chạy xe trên windows, mang định không được enabled, mong muốn cấu hình chúng ta vào GPO update theo đường truyền sau "Windows Settings > Security Settings > Advanced Audit Policy Configuration > System phân tích và đo lường Policies > System > Audit Security System Extension".

Xem thêm: Chkdsk /F Là Gì - Sự Khác Biệt Giữa Chkdsk / F Và Chkdsk / R Là Gì

Nếu OS là Windows 10 với Server 2016/2019 thì Event ID là 4697 ở mục Security Event Log.


Hình 06 - Các Event ID liên quan hình thức chạy trên Windows (Windows Services)

2.7) Event về LAN, Wireless: ra đời khi tương quan mang lại các kết nối mạng.


Hình 07 - Các Event ID tương quan kết nối mạng LAN, Wireless trên Windows

2.8) Event về các bước (process audit): tương quan các tiến trình bên trên windows. Mặc định log này không được bât, để thông số kỹ thuật bạn vào chỉnh trong nhóm Policy theo nhịn nhường dẫn sau "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> phân tích và đo lường Policy -> phân tích và đo lường process tracking".


Hình 08 - Các Event ID liên quan thống trị tiến trình bên trên Windows

2.9) Event về Windows Filtering Platsize (WFP): hay gặp mặt lúc có vận dụng chạy trên thứ bị block/accept nhỏng firewall.

Cái này quan trọng đặc biệt khi khảo sát xem các bước nào vẫn liên kết ra C2 nào.


Hình 09 - Các Event ID liên quan kết nối bên trên laptop Windows

2.9) Event về triển khai công tác (exexinh đẹp program): một số sự kiện thường xuyên gặp khi điều tra về các quy trình lạ được triển khai tương quan mang lại những action của Windows Defender.


Hình 10 - Các Event ID tương quan action của Windows Defender

2.10) Event về PowerShell: giữ gìn các event khi powershell được Điện thoại tư vấn ra với tiến hành câu lệnh. Log này mặc định không được enabled, để enabled log ta vào Group Policy cấu hình đường truyền sau "Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell".

Event ID của powershell được filter qua 02 ID là 41034104.

Còn liên tục cập nhật...

Trên phía trên mình tổng hòa hợp một số lên tiếng về Event Log, nhằm chi tiết minch hoạ hơn về những ngôi trường hòa hợp hay chạm mặt để cách xử lý, truy dấu sự nắm, bản thân vẫn cập nhật ứng với những nội dung bài viết trong loạt bài xích "Điều tra vi phạm ANTT".

Xem thêm: Glassfish Server Là Gì ? Hướng Đẫn Download Và Cài Đặt Glassfish Server

Mình dịch thuật và update ban bố rất có thể ko đúng đắn hay không giống cùng với OS / phiên bạn dạng, chúng ta góp ý góp tại đoạn bình luận nhé.


Chuyên mục: Tài liệu