Windows系统日志分析_windows日志命令

大家好，又见面了，我是你们的朋友全栈君。

本文使用的环境为我前面博客中介绍的搭建方法。具体链接请参考windows日志转发_leeezp的博客-CSDN博客_windows日志转发 安装 ewk (es+winlogbeat+kibana) 转发主机日志_leeezp的博客-CSDN博客

这篇文章记录windows事件和日志的对应关系。

0x00 远程桌面连接登录(mstsc)

kibana 中添加过滤 host.name、event.action、winlog.event_data.LogonProcessName、winlog.event_data.LogonType、process.name、winlog.event_id。

登录成功有三条事件：

登录类型为 10，RemoteInteractive

意思是“通过rdp协议远程登录”。

Fantastic Windows Logon types and Where to Find Credentials in Them

事件id 为 4648，意思是“

当进程通过显式指定帐户的凭据尝试登录帐户时，将生成此事件。

这最常发生在批处理类型配置（如计划任务）中，或者使用”RUNAS”命令时

”

4648 (S) 尝试使用显式凭据登录。 (Windows 10) – Windows security | Microsoft Docs

登录失败如果在windows事件查看器 — Windows日志 — 安全 查看不到日志，可能是因为没有开启windows本地安全策略审核。(可能与windows版本或本地配置有关)

打开本地安全策略，cmd 输入 secpol.msc，如果报错“试图引用不存在的令牌”，

将 C:\Windows\System32\secpol.msc 复制到其他目录，比如 桌面，双击打开即可。

在 “审核策略” — “审核登录事件” 开启 “成功” 和 “失败”的日志：

设置完再次mstsc登录失败，在安全日志可以查看到登录失败 事件ID 4625 的告警：

如果没有配置本地安全策略开启登录审计，还有一个地方的日志可以发现一些端倪：

<pre class="brush:php;toolbar:false;">Hi,You may view the Remote Desktop connection client ip address information in the following logs:Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManagerEvent Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManagerEvent Viewer\Windows Logs\Security  (Event ID: 4624, Logon Type: 10)-TP

Logging IP adderess during remote desktop connection

我是在 Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

析稿Ai写作

科研人的高效工具：AI论文自动生成，十分钟万字，无限大纲规划写作思路。

97

查看详情

刚好符合我密码字典里尝试的15次登录失败。

登录失败不清楚为什么会有1149 认证成功的日志。

这个日志可以用于远程登录失败的审计，无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。

爆破成功的日志为很多 4625 中出现 4624，logintype 都是10。

如果看到 4778，4779 则表示 可能爆破时将正在登录的用户顶掉了。

0x01 UAC管理员账号登录

产生三条事件：

consent.exe 意思是“当用户开启用户账户控制（UAC）功能时，一个程序要更改或者使用一些比较高权限才能做的事情的功能的时候、还有当你使用管理员账户运行程序的时候，会弹出一个对话框，询问您是否允许程序修改计算机设置，这个对话框的进程就是consent.exe”。

consent.exe_百度百科

4672 (S) 分配给新登录的特殊权限。 (Windows 10) – Windows security | Microsoft Docs

4672 常常是管理员及以上权限的用户登录触发。

0x02 mimikatz sekurlsa::ekeys 显示Kerberos加密密钥

此操作默认windows是不会留下安全日志的。(多个win7环境测试)

打开本地安全的略–审核特权使用

执行 mimikatz privilege::debug sekurlsa::ekeys

SeTcbPrivilege

该特权标志着其拥有者是操作系统的一部分，拥有该特权的进程可利用LsaLogonUser()执行创建登录令牌等操作，因此可以充当任意用户

经多次测试，2个文件系统的告警几乎和此告警同时出现，可视为这个操作同时产生的事件。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/195996.html原文链接：https://javaforall.cn

以上就是Windows系统日志分析_windows日志命令的详细内容，更多请关注php中文网其它相关文章！