为了捕获利用PowerShell的攻击行为,越来越多的安全从业人员使用PowerShell事件日志进行日志分析,提取Post-Exploitation等攻击记录,进行企业安全的监测预警、分析溯源及取证工作...随之而来,如何躲避事件日志记录成为攻防博弈的重要一环,围绕PowerShell事件查看器不断改善的安全特性,攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据,以及事件记录的完整性。...如果正在使用PowerShell远程处理,则访问的系统将使用HostName = ServerRemoteHost记录这些事件。 两条消息都不记录与PowerShell活动关联的用户帐户。...借助对 Windows 事件跟踪 (ETW) 日志、模块中可编辑的 LogPipelineExecutionDetails属性和“打开模块日志记录”组策略设置的支持,Windows PowerShell...,这个时期,攻击思路更多的体现在如何降级到PowerShell v2版本。
为了捕获利用PowerShell的攻击行为,越来越多的安全从业人员使用PowerShell事件日志进行日志分析,提取Post-Exploitation等攻击记录,进行企业安全的监测预警、分析溯源及取证工作...随之而来,如何躲避事件日志记录成为攻防博弈的重要一环,围绕PowerShell事件查看器不断改善的安全特性,攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据,以及事件记录的完整性。...如果正在使用PowerShell远程处理,则访问的系统将使用HostName = ServerRemoteHost记录这些事件。 两条消息都不记录与PowerShell活动关联的用户帐户。...• 事件ID 6:在客户端系统上的远程处理活动开始时记录。包括系统连接的目标地址; • 事件ID 169:在访问系统的远程处理活动开始时记录。...借助对 Windows 事件跟踪 (ETW) 日志、模块中可编辑的 LogPipelineExecutionDetails属性和“打开模块日志记录”组策略设置的支持,Windows PowerShell
,但是每次发生异常要定位原因我们都要到服务器去查询日志才能找到,而且也不能对发生的异常进行统计,从而改进我们的项目,要是能做个功能专门来记录操作日志和异常日志那就好了。...当然我们肯定有方法来做这件事情,而且也不会很难,我们可以在需要的方法中增加记录日志的代码,和在每个方法中增加记录异常的代码,最终把记录的日志存到数据库中。...今天我们就来用springBoot Aop 来做日志记录,好了,废话说了一大堆还是上货吧。 一、创建日志记录表、异常日志表,表结构如下: 操作日志表 ? 异常日志表 ?...)") public void operLogPoinCut() { } /** * 设置操作异常切入点记录异常日志 扫描所有controller包下操作...六、操作日志、异常日志查询功能 ? ? ? ? ? 原文始发于微信公众号(全栈程序员社区):如何使用SpringBoot AOP 记录操作日志、异常日志?
写在开头 本文讨论如何优雅的记录操作日志,并且实现了一个SpringBoot Starter(取名log-record-starter),方便的使用注解记录操作日志,并将日志数据推送到指定数据管道(...消息队列等) 本文灵感来源于美团技术团队的文章:如何优雅地记录操作日志?。...本文作为《萌新写开源》的开篇,先把项目成品介绍给大家,之后的文章会详细介绍,如何一步步将个人项目做成一个大家都能参与的开源项目(如何写SpringBoot Starter,如何上传到Maven仓库,如何设计和使用注解和切面等...使用Canal监听数据库记录操作日志 Canal应运而生,它通过伪装成数据库的从库,读取主库发来的binlog,用来实现数据库增量订阅和消费业务需求。...三、特定操作更新数据表:我的业务中,几个系统互相吞吐数据,订单的一部分数据存留在外部系统里,我们最终目标想要将其中一个系统替代掉,所以需要拦截他们的数据,恰好几个系统是使用LINK作为网关的,我们将数据请求拦截一层
写在前面的话 在这篇文章中,我们将告诉大家如何使用EvtMute来对Windows事件日志进行筛选过滤。...EvtMute这款工具允许我们使用YARA来进行攻击性操作,并对已经报告给Windows事件日志的事件进行过滤和筛选。...禁用日志记录 最常见的EvtMute使用场景就是禁用系统范围内的事件日志记录了,此时我们可以应用下列Yara规则: rule disable { condition: true } 此时,我们首先需要通过向事件...\SharpEvtMute.exe --Inject 钩子设置好之后,我们就可以开始添加过滤器了: ....因此,我建议大家手动将EvtMuteHook.dll注入到事件日志服务之中。 它的进程PID可以通过运行下列命令来查看,你还可以通过C2框架来将钩子手动注入至shellcode中。
使用 LoggerMessageAttribute 进行注释的多个方法正在使用相同的事件 ID 值。 事件 ID 值在每个程序集的范围内必须独一无二。...解决方法 查看程序集中所有日志记录方法使用的事件 ID 值,确保它们独一无二。 禁止显示警告 建议尽量使用解决方法之一。...但是,如果无法更改代码,可以通过 #pragma 指令或 项目设置来禁止显示警告。 如果 SYSLIB1XXX 源生成器诊断未显示为错误,则可以在代码或项目文件中禁止警告。
Filebeat比Logstash貌似更好,是下一代的日志收集器,ELK(Elastic + Logstash + Kibana)以后估计要改名成EFK。...Filebeat使用方法: 1、下载最新的filebeat 地址:https://www.elastic.co/downloads/beats/filebeat 然后解压到任意目录 2、修改filebeat...3、设置elasticsearch的filebeat模板 curl -XPUT 'http://localhost:9200/_template/filebeat?.../filebeat -e -c filebeat.yml -d "Publish" 如果能看到一堆东西输出,表示正在向elastic search发送日志。...proxy_set_header Via "nginx"; } access_log off; } 上面的配置表示将elk.yjmyzz.com的请求,转发到服务器的5601端口,同时使用最基本的用户名
网站避免攻击以及需要加速的情况下使用了CDN的情况下,nginx的访问日志只会记录节点IP,无法记录用户真实访问IP。下面就教大家如何记录用户真实IP。
2、日志 • Get-EventLog。显示某个事件日志里的事件。 • Clear-EventLog。删除某个事件日志里的所有记录。 • Limit-EventLog。...设置事件日志的区间和文件大小限制。 • New-EventLog。在运行Windows Server的计算机上创建一个新的事件日志和事件源。 • Remove-EventLog。...删除一个自定义的事件日志,并将此事件日志的所有的事件源删除注册。 • Show-EventLog。显示某台计算机的事件日志。 • Write-EventLog。允许你写事件到某个事件日志。...4、操作 IIS 加载了WebAdministration 模块之后,PowerShell 环境建立了一个“IIS:\”命名空间。进入这个命名空间,并查看IIS的信息。...建议使用可用于服务器管理器的 Windows PowerShell cmdlet。 用法: ServerManagerCmd.exe 安装和删除角色、角色服务和功能。
默认文件1636339299777.png 本文讨论如何优雅的记录操作日志,并且实现了一个SpringBoot Starter(取名log-record-starter),方便的使用注解记录操作日志...,并将日志数据推送到指定数据管道(消息队列等) 本文灵感来源于美团技术团队的文章:如何优雅地记录操作日志?。...本文作为《萌新写开源》的开篇,先把项目成品介绍给大家,之后的文章会详细介绍,如何一步步将个人项目做成一个大家都能参与的开源项目(如何写SpringBoot Starter,如何上传到Maven仓库,如何设计和使用注解和切面等...常见的操作日志实现方式 在小型项目中,这种日志记录的操作通常会以提供一个接口或整个日志记录Service来实现。...使用Canal监听数据库记录操作日志 Canal应运而生,它通过伪装成数据库的从库,读取主库发来的binlog,用来实现数据库增量订阅和消费业务需求。
(2)命令行一键清除Windows事件日志 PowerShell -Command "& {Clear-Eventlog -Log Application,System,Security}" Get-WinEvent...-ListLog Application,Setup,Security -Force | % {Wevtutil.exe cl $_.Logname} (3)利用脚本停止日志的记录 通过该脚本遍历事件日志服务进程...github项目地址:https://github.com/hlldz/Invoke-Phant0m (4)Windows单条日志清除 该工具主要用于从Windows事件日志中删除指定的记录。...eventcreate -l system -so administrator -t warning -d "this is a test" -id 500 02、IIS日志 IIS默认日志路径: %SystemDrive...clearv命令清除目标系统的事件日志(仅包含三种日志类型) meterpreter > clearev [*] Wiping 4 records from Application... [*] Wiping
可视化,以备后续发生安全事件时,网络安全工程师可以及时的检索日志以溯源跟踪。...本章日志审计实践效果如下图所示: weiyigeek.top-自定义用户登录日志记录批处理文件图 weiyigeek.top-windows中使用Promtail采集审计关键日志图 weiyigeek.top...-使用Grafana检索采集的Windows系统事件日志图 温馨提示:作者最近开通的知识星球,全栈系列从门到实践教程将会逐步同步到星球内(实时更新),加入星球将获得作者在安全、运维、开发(Sec、Ops...描述:Windows 操作系统在其运行的生命周期中会记录其大量的日志信息,包括:Windows 事件日志(Event Log),IIS 应用日志,FTP 应用日志,Exchange Server 邮件服务日志...Internet Explorer:包含 IE 浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。 Windows PowerShell:包含 PowerShell 应用的日志信息。
上一篇我们介绍了Spring Boot 2.x中默认日志框架Logback的使用。今天继续说说日志,接下来我们要讲是前段时间爆出核弹漏洞的Log4j2。...下面,我们就来学习一下如何在Spring Boot 2.x版本中,替换Logback,使用Log4j2记录日志。...常见问题 可能有小伙伴会问,之前不是推荐大家用Slf4j来记录日志,隔离了具体实现的日志框架么?那我怎么知道这一顿操作之后,真的已经用上Log4j2了呢?...这个其实很好判断,大家只需要在用到日志的地方,加个端点,Debug跑起来,观察下log对象就可以了,比如: 下面这个是使用默认Logback的情况: 使用Logback 下面这个是使用Log4j2的情况...当然,目前最新已经到2.17.1,您也可以自己升级到2.17.1来使用,如何升级呢?还是按照这篇文章介绍的操作即可。
Phant0m主要针对的是事件日志服务,并且能够找到事件日志服务所对应的进程,然后检测并终止负责事件日志服务的线程。...使用了两种技术来检测和终止事件日志服务的线程。...如果线程正在使用该DLL,那么它就是Windows事件日志服务的线程,然后Phant0m会终止该线程。 检测事件日志服务 Phant0m使用两个不同的选项来检测事件日志服务的进程ID。...将通过SCM获取事件日志服务的PID #define PID_FROM_WMI 0 // 如果设置为1,将通过WMI获取事件日志服务的PID 或者,如果你想终止线程,可以参照下列配置方式(一次只能使用一种技术...,不可同时使用两种): // TID检测和配置 #define KILL_WITH_T1 1 // 如果设置为1,则使用上述的技术1 #define KILL_WITH_T2 0 // 如果设置为1
您可以将其用作过滤器把严重程度从百万个事件转换成数百个事件。 APT-Hunter如何工作? APT-Hunter具有两个部分,它们可以一起工作以帮助用户快速获取所需的数据。...现在,您无需设置SIEM,日志收集器解决方案的实例来帮助您解析和提取所需的数据,也不必继续查看具有数百万个事件的表。 记录统计信息,这将有助于您发现异常情况。...如何使用APT-Hunter 要做的第一件事是收集日志,使用powershell日志收集器可以轻松地自动收集所需的日志,而您只需以管理员身份运行powershell脚本即可。...使用安全日志检测可疑的枚举用户或组的尝试 使用Powershell操作日志检测Powershell操作(包括TEMP文件夹) 使用Powershell操作日志使用多个事件ID检测可疑的Powershell...添加更多Windows事件日志支持 添加对交换日志的支持以检测更多的交换攻击 添加对IIS日志的支持以检测更多Web应用程序攻击 添加更多统计信息以帮助发现异常 威胁情报集成 sysmon的更多用例。
\test.txt" # 使用修改组策略的方式限制登录 powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com...,其导出的日志为evtx格式(即Windows日志本身的存储格式),可以使用Windows事件查看器分析,Crtl+F查找,或者不使用epl参数,直接重定向输出即可。...0x8020000000000000')] and EventData[Data[@Name='SubjectUserName']='RcoIl']]" /f:text /rd:true /c:2 # 参数说明 qe: 从日志或日志文件中查询事件...;(默认xml格式显示) Security: 指定安全事件的日志; /q: 筛选规则,可以打开Windows事件查看器的筛选器配置筛选条件后转至XML复制筛选规则; /f: 以text格式显示 /rd:...(1) 基本架构 asp+ Access+ IIs5.0/6.0+ windows sever 2003 aspx+Mysql+IIS7.0/7.5 +windows server 2008 php+Mysql
在Linux上,PowerShell使用Syslog,微软将此上升成为一种几乎全平台支持的日志记录解决方案。...Powershell日志说明 事件ID 关联 审计 笔记 400 403 始终记录,无论记录设置如何 引擎状态从无更改为可用,记录任何本地或远程PowerShell活动的开始; 403 400 始终记录...,无论记录设置如何 引擎状态从可用状态更改为停止,记录PowerShell活动结束。...600 500 始终记录,无论记录设置如何 记录类似“WSMan”等提供程序在系统上进行PowerShell处理活动的开始,比如”Provider WSMan Is Started“; 800 500...文本(1/1):Write-Host PowerShellV5ScriptBlockLogging 40961 始终记录,无论记录设置如何 PowerShell控制台正在启动 40962 始终记录,
,这里记录下以便后续有需求的童鞋,也希望各位看友能多多支持《#网络安全攻防实践》专栏,收获一定大于付出。...此文实践效果展示: 温馨提示:如需下载一键安装PowerShell脚本以及Promtail 、rsyslog agent 工具的请在文末获取 weiyigeek.top-使用Powershell脚本快速部署抓取系统事件日志图...weiyigeek.top-Windows日志语系与时间时区图 weiyigeek.top-使用Grafana检索采集的Windows系统事件日志图 通过Loki官方文档提到,在 Windows 上,...Promtail 支持读取事件日志,可以使用 Windows_events 节配置抓取 Windows Server 事件目标, 并发送到 Loki 服务器,其配置说明文档如下: https://grafana.com...,更多日志可使用 `wevtutil el` DOS 命令查看事件日志名称。
可能大家很容易想到的一个思路就是,实现一个日志记录的工具类,然后在需要记录日志的接口中,添加一行代码。由这个日志工具类去判断此时应该处理哪些参数。 但是这样有很大的问题。...我最终采用了Aop的方式,采取拦截的请求的方式,来记录日志。但是即使采用这个方法,仍然面临一个问题,那就是如何处理大量的参数。以及如何对应到每一个接口上。...那么如何从众多可能的参数中,为当前的日志指定对应的参数呢。我的解决方案是维护一个参数类,里面列举了所有需要记录在日志中的参数名。...,获取该参数的set方法,将Param类中对应的参数设置成传入的值。...获取复杂参数类型 接下来要介绍的是如何记录复杂参数类型的日志。其实,大致的思路是不变的。我们看传入的类中的参数,有没有需要记录的。有的话就按照上面记录简单参数的方法来替换记录参数。
Exceptionless/wiki/ Github:https://github.com/exceptionless/Exceptionless/ 快速入门 Exceptionless支持直接调用官网服务记录日志...运行并查看日志报告 ? 我这里是直接用Debug模式运行测试。这里有个Dashboard显示异常记录的统计信息 ? 点击某一条具体的异常记录,可以查看具体的异常信息 ? ?...我测试使用的是免费版,只能创建一个项目,每个月只能提交3000条记录,而且这些记录只能保存3天,这对于商用肯定是不足够的。 ? ?...所以,我们可以按照下面这个步骤: 执行 Start-ElasticSearch.ps1启动ElasticSearch和Kibana服务 IIS管理器部署Exceptionless Web站点,设置端口50001...总结 本文主要是介绍了如何快速应用Exceptionless记录异常,以及如何进行本地化部署,然后就是在我自己进行试验的过程中踩到的坑,当然了Exceptionless还有很多功能,以及本地化时的一些设置在本文中都是没有涉及到的
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
