[ 应急响应基础篇 ] evtx提取安全日志 事件查看器提取安全日志

news/2024/9/8 4:37:28/

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

  • 🍬 博主介绍
  • 一、环境介绍
  • 二、Windows日志
    • 1、Windows日志介绍
    • 2、系统日志
    • 3、应用程序日志
    • 4、安全日志
  • 三、提取日志
    • 1.evtx提取安全日志
    • 2.事件查看器提取安全日志
  • 四、相关资源

一、环境介绍

在应急响应过程中,提取日志进行日志分析是必须的。
这里简单介绍一下windows日志,以及采用evtx提取安全日志和事件查看器提取安全日志。

二、Windows日志

1、Windows日志介绍

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

系统日志和应用程序日志存储着故障排除信息,对于系统管理员更为有用。

安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

2、系统日志

Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\System.evtx

3、应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。
如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\Application.evtx

4、安全日志

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\Security.evtx

三、提取日志

1.evtx提取安全日志

evtx下载链接在文末给出
首先使用evtx提取系统的日志,将evtx工具传到windows server 2012服务器上,因为该服务为64位,所以进入到 evtx_0x64 目录

在这里插入图片描述

之后以管理员身份运行 evtx.exe 文件

在这里插入图片描述

提取出来的日志如下

在这里插入图片描述

2.事件查看器提取安全日志

打开事件查看器,打开方式如下:
1、控制面板–>系统和安全–>管理工具中打开时间查看器
2、win+R,输入eventvwr.msc,直接进入事件查看器;

在这里插入图片描述

点开 windows日志,点击右边的所有事件另存为

在这里插入图片描述

日志就保存出来了

在这里插入图片描述

四、相关资源

1、evtx下载链接


http://www.ppmy.cn/news/43100.html

相关文章

listener监听器框架

监听器是Web开发中常用的一种组件,用于监听某些事件并根据事件触发相应的处理逻辑。在Spring Boot中使用监听器可以方便地实现对程序中各种事件的监听,比如启动事件、关闭事件等。 首先需要定义一个监听器,通常需要实现ApplicationListener接…

考研数二第十六讲 不定积分-换元积分和分部积分以及有理函数的积分

第一类换元积分法——凑微分法 假设现在我们要对一个复合函数f[g(x)] 求不定积分,但我只有∫f(x)dxF(x)\int f(x)dx F(x)∫f(x)dxF(x) 这一积分公式。这时候就要想,要是中括号里不是g(x) 而是 x该多好啊。 如果我直接令ug(x) ,强行让原式变…

MySQL数据库 - 基础篇

本文文章基于黑马《MySQL》课程所做的笔记 1、基础篇 1.1、MySQL概述 数据库相关概念 名称全称简介数据库存储数据的仓库,数据是有组织的进行存储DataBase(DB)数据库管理系统操纵和管理数据库的大型软件DataBase Management System(DBMS)SQL操作关系型数据库的编程…

机器学习:基于AdaBoost算法对信用卡精准营销建立模型(附案例实战)

机器学习:基于AdaBoosts算法对信用卡精准营销建立模型 作者:i阿极 作者简介:Python领域新星作者、多项比赛获奖者:博主个人首页 😊😊😊如果觉得文章不错或能帮助到你学习,可以点赞&a…

AXI write data在Write data channel的排布

前几天帮一位同事分析了下write data在AXI write data channel上排布,想想还是记录一下,方便日后复习。我们先来看一张wdata排布图,灰色单元表示该Byte没有被传输。 第一次看这张图的时候,是否有感觉疑惑: address为0…

计算机组成原理---第四章 指令系统

一、指令系统的发展与性能要求 指令系统的概述 指令就是要计算机执行某种操作的命令。可分为:①微指令,属于硬件;②机器指令,简称指令,完成算术逻辑操作;③宏指令,由若干条机器指令组成&#xf…

【每日一题Day173】LC1019链表中的下一个更大节点 |单调栈

链表中的下一个更大节点【LC1019】 给定一个长度为 n 的链表 head 对于列表中的每个节点,查找下一个 更大节点 的值。也就是说,对于每个节点,找到它旁边的第一个节点的值,这个节点的值 严格大于 它的值。 返回一个整数数组 answer…

【Java Web】015 -- Maven高级(分模块设计与开发、继承与聚合、私服)

目录 一、分模块设计与开发 1、为什么要分模块设计? 2、实践:分模块开发 ①、实现步骤 3、小结 二、继承与聚合 继承 1、继承关系 ①、为什么要在Maven工程中实现继承? ②、继承关系实现 ③、继承实现小结 ④、maven项目父子工程结构说明 2、…

TensorFlow 2.0 快速入门指南:第一部分

原文:TensorFlow 2.0 Quick Start Guide 协议:CC BY-NC-SA 4.0 译者:飞龙 本文来自【ApacheCN 深度学习 译文集】,采用译后编辑(MTPE)流程来尽可能提升效率。 不要担心自己的形象,只关心如何实现…

工资六千的岗位面试了6轮

看到有网友说工资六千的岗位面试了6轮,不禁感慨,这公司的面试流程有多复杂。一个工资六千的岗位需要面试6轮,同时不得不佩服这位求职者毅力和耐心,要是我,估计3次我就觉得多了,工资六千面试需要6次还能够坚…

数据库设计案例

一个专辑可以包含多个曲目,一个曲目只能属于一个专辑 一对多 一个专辑可以包含多条短评,一条短语只能属于一个专辑 一对多 一个用户可以包含多条短评,一个短评只能属于一个用户 一对多 一个专辑可以属于多个用户,一个用户…

〖Python网络爬虫实战⑮〗- pyquery的使用

订阅:新手可以订阅我的其他专栏。免费阶段订阅量1000python项目实战 Python编程基础教程系列(零基础小白搬砖逆袭) 说明:本专栏持续更新中,目前专栏免费订阅,在转为付费专栏前订阅本专栏的,可以免费订阅付费…

云原生网络之微隔离

本博客地址:https://security.blog.csdn.net/article/details/130044619 一、微隔离介绍 1.1、微隔离概念 在主体执行动作时,对主体权限和行为进行判断,最常见的是网络访问控制,也就是零信任网络访问(ZTNA&#xff…

C语言结构体练习:【通讯录(静态数组简易版)的实现】

全文目录😀 前言🤔 模块和功能划分🤨 数据类型的选择😮 功能序号类型 enum😮 个人信息类型 PeoInfo😮 通讯录类型 Contact😵‍💫 功能的实现🙄 初始化通讯录 InitContact…

数字孪生之ThingJS

数字孪生对象层级关系获取对象的方法对象层级关系 获取对象的方法 通过加载事件获取根对象,从而去获取子对象app.on("load", function(ev){var campus ev.campus; // 园区对象集合var buildings campus.buildings; // 建筑对象集合// var building…

一位腾讯在职7年测试工程师的心声...

作为一个在腾讯工作7年的测试工程师,今天就来聊聊腾讯工作压力到底从何而来。 压力的开始:时间回到7年前,我人生中的第一份实习工作,是在腾讯公司做一个自动化测试工程师。当时的我可谓意气风发,想要大干一场&#xf…

带你走进Flutter 3.7

期待已久的新教程上线啦!解锁Flutter开发新姿势,一网打尽Flutter最新与最热技术,点我Get!!! 新年伊始,由 Flutter 3.7 正式版来「打头阵」!我们与整个 Flutter 社区们继续在 Flutter 3.7 中优化了框架,包括…

Java EE企业级应用开发(SSM)第5章

第5章Spring MVC入门一.预习笔记 1.Spring MVC是所有使用OOP编程语言都应该遵守的规范 2.Spring MVC的特点 强大的灵活性、非侵入性和可配置性 提供了一个前端控制器DispatcherServlet,开发者无须额外开发控制器对象 分工明确,每一个功能由一个专门…

rust中的集合容器(切片和哈希)与错误处理

String、数组[T:n]、列表Vec\哈希表HashMap<K,V>等。 切片slice&#xff1b; 循环缓冲区 VecDeque、双向列表 LinkedList等。(这是指双向链表吗&#xff1f;) 这些集合容器的共性&#xff1a; 可以遍历 可以进行 map-reduce操作。 可以从一种类型转换成另一种类型。 主要…

电子招投标系统源码之了解电子招标投标全流程

随着各级政府部门的大力推进&#xff0c;以及国内互联网的建设&#xff0c;电子招投标已经逐渐成为国内主流的招标投标方式&#xff0c;但是依然有很多人对电子招投标的流程不够了解&#xff0c;在具体操作上存在困难。虽然各个交易平台的招标投标在线操作会略有不同&#xff0…