[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

这篇具有很好参考价值的文章主要介绍了[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

一、环境介绍

在应急响应过程中,提取日志进行日志分析是必须的。
这里简单介绍一下windows日志,以及采用evtx提取安全日志和事件查看器提取安全日志。

二、Windows日志

1、Windows日志介绍

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

系统日志和应用程序日志存储着故障排除信息,对于系统管理员更为有用。

安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

2、系统日志

Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\System.evtx

3、应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。
如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\Application.evtx

4、安全日志

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\Security.evtx

三、提取日志

1.evtx提取安全日志

evtx下载链接在文末给出
首先使用evtx提取系统的日志,将evtx工具传到windows server 2012服务器上,因为该服务为64位,所以进入到 evtx_0x64 目录

evtx文件,应急响应入门到精通,应急响应基础篇,evtx提取安全日志,事件查看器提取安全日志,windows日志分析介绍,windows日志提取方法

之后以管理员身份运行 evtx.exe 文件

evtx文件,应急响应入门到精通,应急响应基础篇,evtx提取安全日志,事件查看器提取安全日志,windows日志分析介绍,windows日志提取方法

提取出来的日志如下

evtx文件,应急响应入门到精通,应急响应基础篇,evtx提取安全日志,事件查看器提取安全日志,windows日志分析介绍,windows日志提取方法

2.事件查看器提取安全日志

打开事件查看器,打开方式如下:
1、控制面板–>系统和安全–>管理工具中打开时间查看器
2、win+R,输入eventvwr.msc,直接进入事件查看器;

evtx文件,应急响应入门到精通,应急响应基础篇,evtx提取安全日志,事件查看器提取安全日志,windows日志分析介绍,windows日志提取方法

点开 windows日志,点击右边的所有事件另存为

evtx文件,应急响应入门到精通,应急响应基础篇,evtx提取安全日志,事件查看器提取安全日志,windows日志分析介绍,windows日志提取方法

日志就保存出来了

evtx文件,应急响应入门到精通,应急响应基础篇,evtx提取安全日志,事件查看器提取安全日志,windows日志分析介绍,windows日志提取方法

四、相关资源

1、evtx下载链接 文章来源地址https://www.toymoban.com/news/detail-597327.html

到了这里,关于[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows应急响应 -Windows日志排查,系统日志,Web应用日志,

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 Windows系统日志存放在 C:WindowsSystem32winevtLogs 目录下,使用系统自带的【事件查看器】来查看 WIN + R,输

    2023年04月09日
    浏览(49)
  • 应急响应实战笔记02日志分析篇(5)

    常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。 0x01 Mysql日志分析 general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事

    2024年02月21日
    浏览(42)
  • 挖矿病毒应急响应思路,挖矿病毒事件处理步骤

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 比特币系统每隔一段时间就会在节点上生成一个 「随机代码」 ,互联网中的所有设备都可以寻找这个代

    2024年02月10日
    浏览(44)
  • 应急响应之windows日志分析工具logparser使用

    目录 一、logparser简介 (一)logparser介绍 (二)下载链接 二、logparser安装 三、基本查询结构 四、使用Log Parser分析日志 (一)查询登录成功的事件 1. 登录成功的所有事件 2. 指定登录时间范围的事件 (二)提取登录成功的用户名和IP (三)查询登录失败的事件 1. 登录失败的

    2023年04月09日
    浏览(39)
  • 记一次Tomcat控制台弱口令爆破事件应急响应

    某内部应急演练中,安全部门在安全设备上观察到大量Tomcat控制台登录请求,现需根据流量情况进行安全事件分析。 Apache Tomcat是Apache 软件基金会的一款中间件。其中Manager App控制台容易被攻击者利用,通过弱口令爆破或者默认口令登录。 控制台页面存在Deploy功能,且可以通

    2024年02月11日
    浏览(54)
  • Windows应急响应排查思路,应急响应基础技能

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月01日
    浏览(60)
  • 网络安全-应急响应

    ​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,

    2023年04月22日
    浏览(42)
  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(49)
  • 安全运营和应急响应详解

    1、应急响应流程 应急响应分为六个阶段,分别是: 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法。 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析: 1. 准备阶段 以预防为主,主要是要进行风险评估

    2024年02月02日
    浏览(41)
  • 安全应急响应中心SRC

    目录 安全应急响应中心SRC 一、SRC介绍 二、SRC准则 三、SRC评级 四、SRC公告和活动 五、SRC导航平台 六、企业SRC平台 ​安全应急响应中心(SRC, Security Response Center),是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。 SRC平台 ​报告平台是指由独立的第三方公司

    2024年02月03日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包