使用sysmon、nxlog和graylog实现windows服务器安全日志监控
Sysmon系统监视器是一种Windows系统服务和设备驱动程序,安装后会在系统重启后继续运行,用于监视并记录系统活动至Windows事件日志中。
它能够提供详细的进程创建、网络连接和文件创建时间变更信息。通过Windows事件收集或SIEM代理收集这些事件,并进行后续分析,可以识别出恶意或异常活动,并了解攻击者和恶意软件在网络中的操作方式。
请注意,Sysmon不会对其生成的事件进行分析,也不会尝试保护或隐藏自身免受攻击者的攻击。
准备工作
可从以下链接下载:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
nxlog安装包 nxlog-ce-2.10.2150.msi
sysmonconfig-export.xml配置文件
建议安装Notepad++用于编辑配置文件
(点击图片可放大查看)
(点击图片可放大查看)
使用以下命令安装Sysmon并应用配置文件:
Sysmon64.exe -i sysmonconfig-export.xml -accepteula
(点击图片可放大查看)
关于sysmonconfig-export.xml配置模板文件的获取,了解的人自然知道,这里不做展开讨论。
(点击图片可放大查看)
nxlog.conf配置文件中的部分内容如下:
Module im_msvistalog
Query <querylist><query id="0"> * </query></querylist>
<Output systemout="">
Module om_udp
Host 192.168.31.127
Port 1517
</Output>
<Output sysmonout="">
Module om_udp
Host 192.168.31.127
Port 1518
</Output>
<Route udp1="">
Path eventlog => systemout
</Route>
<Route udp2="">
Path sysmon => sysmonout
</Route>
(点击图片可放大查看)
(点击图片可放大查看)
为了区分系统日志与Sysmon日志,需创建不同的输入、索引和流。
(点击图片可放大查看)
(点击图片可放大查看)
(点击图片可放大查看)
(点击图片可放大查看)
(点击图片可放大查看)
防火墙需开放1517和1518 UDP端口:
firewall-cmd --permanent --zone=public --add-port=1517/udp firewall-cmd --permanent --zone=public --add-port=1518/udp firewall-cmd --reload
(点击图片可放大查看)
例如,在命令行中执行
ping www.baidu.com
(点击图片可放大查看)
可以查看到DNS查询日志和命令行进程日志。
(点击图片可放大查看)
(点击图片可放大查看)
以上就是Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
288
