一、前言 最近在做着一些日志分析的活,刚好看到LogonTracer这款工具,于是就参考着网上仅有的文章去搭建了,搭建过程中会多少遇到一些问题,也就顺手将其记录到这篇文章中了,希望这篇文章能帮助到第一次搭建这款工具的小伙伴...LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。...它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。...7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击...3、日志筛选过滤器 在界面顶部就是日志筛选过滤器,可以根据用户名、主机名和IP地址等对日志进行筛选。 ? 也可以过滤显示时间段及事件ID,事件出现的次数。 ?
Windows常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows...1101 审计事件已被运输中断。...1102 审核日志已清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 Windows正在启动 4609 Windows正在关闭 4610...4718 系统安全访问已从帐户中删除 4719 系统审核策略已更改 4720 已创建用户帐户 4722 用户帐户已启用 4723 尝试更改帐户的密码 4724 尝试重置帐户密码 4725...(开机) 6006 日志服务已停止。
DFIRTriage描述 DFIRTriage这款工具旨在为安全事件应急响应人员快速提供目标主机的相关数据。...目前,该工具仅支持Windows平台。...; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender...扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows...Event日志事件条目 DFIRtriage搜索工具: 1、可针对DFIRtriage输出数据和日志文件进行关键词搜索; 2、搜索工具为独立的可执行文件-dtfind.exe; 3、双击即可运行 依赖环境
Windows操作系统的日志分析 Windows日志简介 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP...主要记录行为当前的日期、时间、用户、计算机、信息来源、事件、类型、分类等信息。用户可以通过它来检查错误发生的原因,处理应急事件,提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。...Windows日志事件类型 Windows操作系统日志分析 Windows事件日志中记录的信息中,关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等...Windows系统日志分为两大类:Windows日志、应用程序和服务日志。Windows日志记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。...一、打开事件查看器:控制面板→管理工具 中找到事件查看器,或者在【开始】→【运行】→输 入 eventvwr.msc 打开。
usbrip(是“USB Ripper”的简写,而不是“USB R.I.P.”)是一个带有CLI接口的开源取证工具,可用于跟踪/监控Linux机器上的USB设备连接事件(即USB事件历史记录,“已连接”...和“已断开连接”事件)。...描述 usbrip是纯Python 3编写的一个小软件(使用一些外部模块,参见Dependencies/PIP),它会通过解析Linux的日志文件(/var/log/syslogor/var/log/messages...另外需要注意的是,usbrip使用了一些UNICODE符号,因此将生成的文件转换为UTF-8编码(如使用encov),以及将换行符更改为Windows样式会更方便(如使用awk)。...根据“PID”属性的可信USB设备列表(trusted/auth.json)搜索外部USB设备的事件历史记录,并将结果事件限定为“Bob”作为用户,“EvilUSBManufacturer”为制造商,“
关于Collect-MemoryDump Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理...注意:Collect-MemoryDump默认并不包含所有的外部工具。...\Collect-MemoryDump.ps1 -WinPMEM --Pagefile 工具使用演示 查看帮助信息 检查可用空间 自动创建Windows内存快照 w/ Dumplt...自动创建Windows内存快照 w/ Magnet RAM Capture 自动创建Windows内存快照 w/ WinPMEM 自动创建Windows内存快照 w/ Belkasoft...Live RAM Capturer 自动创建Windows内存快照 w/ DumpIt (Microsoft Crash Dump) 自动创建Windows内存快照 w/ WinPMEM
这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志。 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。...本系列文章前文欣赏: (1):通过rsyslog搭建集中日志服务器 (2):使用ELK实时分析SSH暴力破解 Winlogbeat 使用Winlogbeat将Windows事件日志流传输到Elasticsearch...创建索引,在SIEM界面,可以查到通过Winlogbeat从Windows事件日志提取主机事件。 ? 点击查看主机,在主机界面,可以查看安全分析得到的结果,共包含五部分信息。...结语 在本文,基于Elastic Stack的SIEM,展现了强大的安全事件分析的能力,通过Winlogbeat收集Windows事件日志,以Elasticsearch的速度进行安全分析,使用Kibana...当然,不只是Windows事件日志,借助Beats可以从任何你想要的地方提取数据,如审核事件、认证日志、DNS流量、网络流等。
背景 根据卡巴斯基发布的研究报告发现一项恶意活动,其中的技术涉及将shellcode直接放入Windows事件日志,Windows事件日志可以被攻击者用来掩盖特洛伊木马病毒的恶意使用。...前置知识 Windows事件日志 Windows默认事件日志查看器为eventvwr.msc,能实现简单的使用,Win+R键后输入eventvwr回车即能打开。...Windows主要的日志在“Windows 日志”中,该文件夹中包含所有Windows系统上的五个标准类别。比较常用的Windows日志有系统日志、安全日志、应用程序日志这三个日志内容。...Windows事件日志文件实际上是以特定的数据结构的方式存储内容,每条记录事件的数据结构由9个字段组成,包括日志名称、来源、记录时间、事件ID、任务类别、级别、计算机、事件数据(EventData)等信息...写入事件日志 我们可以使用PowerShell操作Windows事件日志,其中Write-EventLog命令可以将事件写入事件日志,参考微软官方文档,其中参数对应上面介绍的字段: 图片 执行命令 Write-EventLog
Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件...安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。...1.手工日志分析 1.日志文件位置 控制面板→ 管理工具 → 事件查看器 或者win + R:eventvwr.msc 2.EVENT ID含义 对于Windows事件日志分析,不同的EVENT...,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示...日志分析工具。
关于Epagneul Epagneul是一款针对Windows事件日志的可视化分析工具,可以帮助广大研究人员以可视化图形的方式查看、分析和审计Windows事件日志。...工具体系架构 该工具的 整体运行机制和体系架构如下图所示: 工具组件 Vue.js:该工具所使用的Web框架 Cytoscape.js:该工具所使用的图形可视化和分析库 d3:用于显示事件时间轴...neo4j:后端数据库 evtx:解析Windows XML事件日志格式 工具要求 该工具的运行需要在本地设备上安装并配置好Docker和Docker-compose。...工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/jurelou/epagneul.git 工具安装 接下来,切换到项目根目录下...我们可以把它拷贝到空气间隙设备上,然后云心下列命令: make load make 上述命令将安装下列工具组件: 1、Epagneul Web UI(8080端口) 2、Epagneul后端(8080
APT-Hunter是用于Windows事件日志的威胁搜寻工具,该工具能够检测隐藏在Windows事件日志中的APT运动,如果您是弄威胁情报的人,那么我保证您会喜欢使用此工具的,为什么?...许多分析员会忽略Windows事件日志,或者不知道在何处搜索可疑活动,而且大多数分析人员都知道在发生攻击时要收集哪些事件日志。我在SOC中担任安全专家,我们向客户提供威胁搜寻,事件响应和法证服务。...通常,客户没有SIEM或日志收集器,这使得收集Windows事件日志非常困难。现在,如果您使用的是APT-Hunter,则将有: 在发生重大事件之前找出你可能不知道的可疑活动。...免费的开源工具,将为您提供无限制的服务。 您可以将其用作过滤器把严重程度从百万个事件转换成数百个事件。 APT-Hunter如何工作?...该工具将用于加快Windows日志分析的速度,但永远不会取代深度日志分析。 收集日志:用户可以手动收集CSV和EVTX格式的日志,也可以使用本文后面讨论的powershell脚本自动提取所需的日志。
一、关机 “右击”开始菜单—》关机或注销—》“关机” 或者 “更新并关机” EventID=1074 进程:C:\Windows\Explorer.EXE,用户Administrator,关闭电源:其他...(计划外) 关机类型:关闭电源 原因代码:0x0 点击”开始菜单—》点击“电源”按钮—》关机 EventID=1074 进程:C:\Windows\System32\RuntimeBroker.exe,...用户Administrator,关闭电源:其他(计划外) 关机类型:关闭电源 原因代码:0x0 通过PowerShell执行stop-computer关机 EventID=1074 进程:C:\Windows...Windows\system32\wbem\wmiprvse.exe,用户Administrator, 重启:没有找到这个原因的标题 关机类型:重启 原因代码:0x80070015 或者 进程:C:\Windows...0x80020021 注释:正在重新启动此计算机,因为安装或删除了Active Directory 域服务 开启full dump等之后,点击“立即重新启动(R)” 会产生2条EventID 1074的事件日志
写在前面的话 事件日志搭配Windows事件转发和Sysmon,将会成为一个非常强大的安全防御方案,可以帮助研究人员检测攻击者在目标设备上的每一步非法操作。很明显,这是攻击者需要解决的问题。...如果不能实现提权的话,攻击者能绕过事件日志的方式还是有限的,一旦实现提权,那结果可就不同了。 那么,怎么做才能在过滤掉攻击活动日志的同时,保留住正常的事件日志呢?...几年之前,@hlldz曾发布过一款名叫Invoke-Phant0m的工具。这是一款Windows日志清理工具,它可以找到目标事件对应的进程,然后终止掉所有通过wevtsvc.dll运行的线程。...这是因为wevtsvc.dll是一个事件日志服务,因此终止它以及相关线程就可以禁用掉日志记录功能了。但是,这样将停用所有的事件日志。...,包括报告事件的提供方,在windbg的帮助下,我们可以获取到提供方的GUID: 拿到事件提供方的GUID后,我们就可以使用logman.exe来查询提供方身份了,这里我们可以看到提供方就是Microsoft-Windows-Sysmon
在 Linux 下做开发和调试任务的时候,有些情况会动态去跟踪一些日志的变化来调试问题。...Linux 下使用 tail -f 就可以达到需求了,但 Windows 下一直没有找到类似的好用工具,在 github 上也有一些开源项目,不是项目相对陈旧界面丑陋,就是功能不完善不能让人专注于分析日志...项目地址 Github:https://github.com/nmgwddj/logs-monitor 程序功能 可以动态监控日志文件的变化并显示到界面上 可以同时监控多个文件的变化 快速清空文件以方便针对性的查看分析日志
1.触摸事件 触摸事件是指在屏幕某处按下并抬起的操作,可通过--pct-touch参数来配置其事件百分比。从Monkey执行该事件对外输出的日志可以看到。...从Monkey执行该事件对外输出的日志可以看到: 该事件起始是一个ACTION_DOWN事件和一个ACTION_POINTER_DOWN事件,即模拟两个手指同时点下;中间是一系列的ACTION_MOVE...从Monkey执行该事件对外输出的日志可以看到: 该事件是由一系列的Trackball(ACTION_MOVE)事件组成的,观察手机上的操作,即为一系列的曲线滑动操作。...从Monkey执行该事件对外输出的日志可以看到:[代码] 如日志所示,这里主要是键盘的打开和关闭操作。...日志 日志管理作用 Monkey日志管理是Monkey测试中非常重要的一个环节,通过日志管理分析,可以获取当前测试对象在测试过程中是否会发生异常,以及发生的概率,同时还可以获取对应的错误信息,帮助开发定位和解决问题
Windows 事件日志是 Windows 系统安全事件以及错误信息记录的地方,可以帮助你识别和解决各种问题,例如,安全认证审核、应用程序崩溃、系统错误等,此外由于等保审计需求,需要配置 Windows...0x01 日志知识 什么是 Windows 事件日志?...Windows 事件日志分类 描述:Windows 事件日志可分为 Windows 日志、应用程序和服务日志两大类,了解这些类别有助于在出现问题时迅速定位相关日志,缩小排查范围。...Security:即安全日志,包含系统安全相关的事件。例如,记录用户登录、注销、系统启动和关闭、用户帐户管理、密码策略更改等安全相关的事件。...(可以理解成数据库中的字段),当发生安全事件时应急响应工程师可以根据日志取证,了解计算机上上发生的具体行为。
关于Phant0m Phant0m是一款针对红队研究人员设计的安全测试工具,在该工具的帮助下,广大红队研究人员可以在渗透测试活动中轻松关闭Windows事件日志工具。...Phant0m主要针对的是事件日志服务,并且能够找到事件日志服务所对应的进程,然后检测并终止负责事件日志服务的线程。...使用了两种技术来检测和终止事件日志服务的线程。...Windows事件日志服务会使用wevtsvc.dll,其完整路径为“%WinDir%\System32\wevtsvc.dll”。...如果线程正在使用该DLL,那么它就是Windows事件日志服务的线程,然后Phant0m会终止该线程。 检测事件日志服务 Phant0m使用两个不同的选项来检测事件日志服务的进程ID。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
