當windows伺服器遭到入侵時,在運行過程中經常需要檢索和深入分析相應的安全日誌。除安全防護設備外,系統軟體內置系統日誌是調查取證的關鍵材料,但此類系統日誌數量非常龐大,須要對windows安全日誌開展合理深入分析,以獲取我們需要的有用信息,這一點尤為重要。本文詳細介紹了windows的系統日誌種類,存儲具體位置,檢索方式,以及使用工具的方便檢索。
系統日誌信息在windows系統軟體運行過程中會不斷地被記錄,依據記錄的種類能夠分成系統日誌、IIS系統日誌、ftp客戶端系統日誌、資料庫系統日誌、郵件服務系統日誌等。活動記錄,WindowsEventLog文件實際上是以一種特殊的數據結構存儲內容,包含關於系統軟體、安全性、應用軟體的記錄。在每一個記錄事件的數據結構中包含9個要素(這能夠理解為資料庫中的欄位):日期/時間、事件種類、用戶、計算機、事件ID、源、類別、說明、數據等等。操作員能夠通過系統日誌調查取證,了解到計算機中發生的具體行為。
啟動-運行,鍵入bindvwr.msc點開事件查看器來查詢系統日誌。您能夠看到,事件查看器將系統日誌分成兩大類:windows系統日誌、應用軟體系統日誌和服務系統日誌,其中還有一些種類的事件,如應用軟體、安全性、setup、系統軟體、forwardedevent。下面分別開展詳細介紹:
活動種類
應用軟體系統日誌。
包含應用軟體或系統軟體程序記錄的事件,主要是記錄程序執行層面的事件,例如資料庫程序能夠記錄應用軟體系統日誌中的文件不正確,軟體開發人員能夠自己選擇要監視哪些事件。當一個應用軟體癱瘓時,我們可以從程序系統日誌中找到對應的記錄,這可能對解決問題有所幫助。
預設目錄位置:%SystemRoot%\系統軟體32\Winevt\登錄\應用軟體.evtx。
·系統日誌。
由作業系統組件發生的事件記錄,具體包含驅動軟體癱瘓、系統軟體組件和應用軟體癱瘓以及數據丟失不正確等。WindowsNT/2000作業系統預先定義了系統日誌中記錄的時間種類。
預設目錄位置:%SystemRoot%\System32\Winevt\登錄\系統軟體.evtx
·安全記錄
包含應用軟體或系統軟體程序記錄的事件,主要是記錄程序執行層面的事件,例如資料庫程序能夠記錄應用軟體系統日誌中的文件不正確,軟體開發人員能夠自己選擇要監視哪些事件。當一個應用軟體癱瘓時,我們可以從程序系統日誌中找到對應的記錄,這可能會幫助您解決問題。
溯源日誌排查總結:首先確認下網站被入侵後篡改文件的修改時間,然後查看下網站日誌文件中對應時間點有無POST的日誌URL,然後篩選出來查下此IP所有的日誌就能確定是否是攻擊者,如果伺服器被入侵的話可以查詢系統日誌看下最近時間的登錄日誌,以及有無增加默認管理員用戶之類的,如果想要更詳細的查詢是如何被入侵的話可以尋求網站安全公司的幫助,推薦SINESAFE,鷹盾安全,綠盟,啟明星辰,大樹安全等等這些都是很不錯的網站安全公司。