windows安全日志分析VIP专享

精品文档---下载后可任意编辑今日服务器遭受入侵，入侵路径回溯：被入侵服务器->跳板机->办公网某主机。因此整理记录 windows 被入侵相关信息。本文只讨论 windows 安全登录相关日志，介绍三种事件类型（登录，注销，尝试登陆）。通过此日志可查看 windows 主机是否通过 3389 远程服务爆破进入。注：windows 日志有存储大小限制，有被覆盖的可能。可修改，请自行百度。 1.1 windows 日志位置我的电脑右键管理：刷选 windows 安全日志事件 ID：4000-4700，登录相关 1.2 三种登录事件详解 1.2.1 事件 4648（尝试登陆）事件 4648 描述：此事件发生在日志所在 windows 主机，表明日志所在 windows 主机尝试连接远程主机，无论连接成功与否，这里都会记录。网络地址端口：经测试发现只有同一局域网（且同一 C 段）才会记录目标服务器 ip 端口。精品文档---下载后可任意编辑 1.2.2 事件 4624（登陆成功）事件 4624 描述：表示日志所在 win 主机被成功连接“使用者”：指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。“登录类型”：指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。（登陆类型 3：例如连接共享文件，打印机等；登陆类型 7：解锁；登陆类型 10：例如远程桌面等参考连接：）“新登录”：指明新登录是为哪个帐户创建的，即登录的帐户。“网络信息”：指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。 1.2.3 事件 4634（注销） 1.3 日志分析工具 log_parser_lizard工具介绍：一个 Log Parser 的图形版，功能强大（可能需要安全相关依赖，我一开始安装了 Log Parser）使用参考连接:下载地址：猎取 15 天免费 key，需要注册邮箱：工具界面：执行查询：我这里把相关安全日志单独 copy 一份，下面是我执行的语句：精品文档---下载后可任意编辑相应字段：执行结果：strings 难以查看，导出 excel 后，使用 python 处理了一下：#! /usr/bin/python# _*_ coding:utf-8 _*_import xlrdimport xlwtimport timeworkbook = xlrd.open_workbook('zhangsan.xlsx')sheet = workbook.sheets()[0]workbook1 = xlwt.Workbook()sheet1 = workbook1.add_sheet('my sheet')sheet1.write(0, 0, u'时间')sheet1.write(0, 1, u'事件 ID')sheet1.w...