Windows 主机侧日志排查

已于 2025-07-24 22:57:21 修改
阅读量3.9k 收藏 12
点赞数 17
CC 4.0 BY-SA版权
分类专栏: 主机安全 终端安全 网络安全 文章标签: 网络安全 安全
于 2025-07-24 22:55:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leeezp/article/details/149617251

0x00 背景

应急响应时,有些日志在主机侧没有收集到日志平台,需要上主机快速排查日志定位问题。

0x01 powershell 日志排查

1. 查询 Security 日志的 EventID 4624(成功登录事件),并列出所有字段

Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4624]]" -MaxEvents 1 | 
    ForEach-Object { 
        $xml = [xml]$_.ToXml()
        $xml.Event.EventData.Data | 
            Select-Object Name, "#text" | 
            Format-Table -AutoSize
    }

Name                      #text
-----                          -----
SubjectUserSid            S-1-5-18
SubjectUserName           W01Server0111$
SubjectDomainName         yourdomain
SubjectLogonId            0x3e7
TargetUserSid             S-1-5-21-1xxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-1003
TargetUserName            XXXX
TargetDomainName          W01Server0111
TargetLogonId             0x3xxxxxxxx
LogonType                 10
LogonProcessName          User32
AuthenticationPackageName Negotiate
WorkstationName           W01Server0111
LogonGuid                 {00000000-0000-0000-0000-000000000000}
TransmittedServices       -
LmPackageName             -
KeyLength                 0
ProcessId                 0x58
ProcessName               C:\Windows\System32\svchost.exe
IpAddress                 10.111.1.100
IpPort                    0
ImpersonationLevel        %%1833
RestrictedAdminMode       %%1843
TargetOutboundUserName    -
TargetOutboundDomainName  -
VirtualAccount            %%1843
TargetLinkedLogonId       0x3e4cdeb1e
ElevatedToken             %%1843

2. 查询 Security 日志的 EventID 4624(成功登录事件),并过滤特定字段

Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4624]]" -MaxEvents 1 | 
    ForEach-Object { 
        $xml = [xml]$_.ToXml(); 
        $xml.Event.EventData.Data | 
            Where-Object { $_.Name -in "TargetUserName", "IpAddress" } | 
            Select-Object Name, "#text"
    }

Name                      #text
-----                          -----
TargetUserName    XXXX
IpAddress               10.111.1.100

3. 查询 Security 日志的 EventID 4688(进程创建事件),并列出所有字段

Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4688]]" -MaxEvents 1 | 
    ForEach-Object { 
        $xml = [xml]$_.ToXml()
        $xml.Event.EventData.Data | 
            Select-Object Name, "#text" | 
            Format-Table -AutoSize
    }

 Name               #text
----               -----
SubjectUserSid     S-1-5-18
SubjectUserName    W01Server0111$
SubjectDomainName  yourdomain
SubjectLogonId     0x3e8
NewProcessId       0x1688
NewProcessName     C:\Program Files\TitanAgent\titan_guard.exe
TokenElevationType %%1936
ProcessId          0x24dc
CommandLine        titan_guard.exe  --log
TargetUserSid      S-1-0-0
TargetUserName     -
TargetDomainName   -
TargetLogonId      0x0
ParentProcessName  C:\Windows\System32\cmd.exe
MandatoryLabel     S-1-16-16384

4. 获取时间字段

Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4688]]" -MaxEvents 2 | 
    ForEach-Object { 
        $xml = [xml]$_.ToXml()
        [PSCustomObject]@{
            Time = $_.TimeCreated 
            NewProcessName = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "NewProcessName" }).'#text'
            CommandLine = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "CommandLine" }).'#text'
            SubjectUserName = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "SubjectUserName" }).'#text'
        }
    } | Format-Table -AutoSize

 Time                 NewProcessName                                                           CommandLine                                                                 SubjectUserName
----                 --------------                                                           -----------                                                                 ---------------
7/01/2025 11:00:01 PM C:\Program Files\TitanAgent\titan_guard.exe                              titan_guard.exe  --monitor                                                  W01Server0111$
7/01/2025 11:00:02 PM C:\Program Files\TitanAgent\titan_guard.exe                              titan_guard.exe  --full_check                                               W01Server0111$

5. 查询最近1000条日志,并排除processName和CommandLine含有一些关键字的单词

Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4688]]" -MaxEvents 1000 | 
    Where-Object { 
        $xml = [xml]$_.ToXml()
        $processName = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "NewProcessName" }).'#text'
		$CommandLine = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "CommandLine" }).'#text'
        $processName -notmatch 'titan_guard\.exe' -and $processName -notmatch 'splunk-.*\.exe' -and $processName -notmatch 'conhost\.exe' -and $processName -notmatch 'Dllhost\.exe' -and
		$CommandLine -notmatch 'agent_.*\.bat'
    } | 
    ForEach-Object { 
        $xml = [xml]$_.ToXml()
        [PSCustomObject]@{
            Time    = $_.TimeCreated
            Process = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "NewProcessName" }).'#text'
            Command = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "CommandLine" }).'#text'
            User    = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "SubjectUserName" }).'#text'
        }
    } | Format-Table -AutoSize

6. 新增时间过滤条件

$StartTime = Get-Date "2025-07-01 00:00:00" # 开始时间  
$EndTime = Get-Date "2025-07-01 01:50:59"   # 结束时间

$Filter = @{
    LogName   = 'Security'
    ID        = 4688            # 进程创建事件      
    StartTime = $StartTime          
    EndTime   = $EndTime              
}

Get-WinEvent -FilterHashtable $Filter -MaxEvents 1000 | 
    Where-Object { 
        $xml = [xml]$_.ToXml()
        $processName = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "NewProcessName" }).'#text'
		$CommandLine = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "CommandLine" }).'#text'
        $processName -notmatch 'titan_guard\.exe' -and $processName -notmatch 'splunk-.*\.exe' -and $processName -notmatch 'conhost\.exe' -and $processName -notmatch 'Dllhost\.exe' -and
		$CommandLine -notmatch 'agent_.*\.bat'
    } | 
    ForEach-Object { 
        $xml = [xml]$_.ToXml()
        [PSCustomObject]@{
            Time    = $_.TimeCreated
            Process = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "NewProcessName" }).'#text'
            Command = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "CommandLine" }).'#text'
            User    = ($xml.Event.EventData.Data | Where-Object { $_.Name -eq "SubjectUserName" }).'#text'
        }
    } | Format-Table -AutoSize

# 0x02 后记

点赞,收藏,关注,后续会持续更新该笔记!

APTHunter——Windows安全日志排查好帮手
摔不死的笨鸟的博客
12-16 4928
服务器虽然Linux系统使用的比较多,但Linux服务器相比于Windows服务器可以检查的点比较少,Windows服务器相对来说排查难度比较高。 服务器一般很少会主动从网络上下载资源,安装的软件多为ToDesk、AnyDesk、TiemView等远程桌面管理工具,功能比较单一。 服务器承载着非常重要的核心业务,多数安全工具不能随便使用,尤其是不太出名的小工具(如:executedprogramslist),以及会安装驱动的安全工具(如火绒剑、PChunter、其他厂商的EDR产品等),因为一旦发生不兼容问
Windows主机日志分析办法与思路
2401_84466336的博客
05-27 1557
有很多知识是需要长时间的积累的,做一件事之前,想清楚思路,做什么,为什么做,怎么做。后续还会抽时间写linux入侵痕迹排查以及linux日志分析。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取。
Windows主机入侵痕迹排查办法
A1_3_9_7的博客
04-07 1049
技能都是需要动手的,然后思路需要清晰,操作要细致,跟客户要保持沟通,切记不能闷着擅自操作!
Windows应急响应-排查方式
网络空间安全学习
08-05 2277
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
windows入侵排查
qq_51780583的博客
11-20 1159
windows入侵排查项梳理
windows 日志
qq_56532178的博客
06-06 836
通过分析日志文件中的状态码,管理员可快速定位系统故障,例如根据安全日志中的登录失败事件排查入侵尝试;总之,Windows 日志文件是系统管理和维护的重要工具,深入理解不同类型日志的功能及状态码含义,能充分发挥其在故障诊断、安全监控和性能调优中的作用,保障系统稳定可靠运行。若系统配置为 DNS 服务器,该日志记录 DNS 查询、解析等操作,存储在 % SystemRoot%\System32\DNS\Dns.log。该日志聚焦应用程序产生的事件,包括应用程序的错误、警告和信息。表示接收到 DNS 查询请求,
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
Windows以及Linux的入侵排查
qq_60600840的博客
06-03 918
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
如何通过查看云主机日志排查故障
YOKEhn的博客
09-12 637
数据库服务器(如MySQL、PostgreSQL)通常在`/var/log/mysql/`、`/var/log/postgresql/`等目录中有日志文件。- Web服务器(如Apache、Nginx)通常会在`/var/log/apache2/`、`/var/log/nginx/`等目录中记录访问和错误日志。- /var/log/messages:这是Linux系统中最常用的日志文件,包含了系统级别的日志信息。- 应用程序、安全和系统日志:在这里可以找到关于应用程序、系统和安全事件的日志
Windows 系统入侵排查
qq_73611706的博客
12-05 1979
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,系统运维人员可以根据以上异常情况来知道攻击者从何处入侵、攻击者以何种方式入侵以及攻击者在入侵后做了什么这几个问题的答案,从而为之后的系统加固、安全防护提供针对性建议。安全日志也是调查取证中最常用到的日志
windows安全基线排查
qq_57452880的博客
07-24 730
为了让企业更加安全
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8740
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何从Kubernetes集群中安全移除节点
xcbeyond|疯狂源自梦想,技术成就辉煌
07-23 944
从 API Server 中移除节点对象,kube-controller-manager 停止监控该节点。通过遵循本指南,您将能够高效安全地管理Kubernetes节点生命周期,确保集群稳定运行。在 Kubernetes 集群的生命周期中,节点维护是不可避免的操作。本指南将详细介绍安全移除节点的全流程,确保操作平滑无感知。的标准流程,配合完善的预检和验证,可确保服务零中断。,阻止新Pod调度到该节点,但现有Pod继续运行。
点击劫持:潜藏在指尖的安全陷阱
最新发布
fys15925190510的博客
07-27 643
随后,通过代码将这些恶意元素设置为全透明状态,并精准覆盖在用户可能点击的正常按钮上,如 “关闭广告”“查看详情” 等。在网页端,攻击者可能搭建一个看似正常的视频网站,当用户点击 “播放” 按钮时,透明的恶意元素会引导用户点击 “确认下载某软件”,而该软件实则为病毒或挖矿程序。例如,当用户在某款工具类 APP 中点击 “领取优惠券” 时,实际触发的是 “允许该应用发送付费短信” 的授权弹窗,导致手机被强制扣除话费。例如,点击后弹出带有随机验证码的确认框,或要求用户拖动滑块完成验证,确保操作是用户的真实意图。
安全漏洞】网络守门员:深入理解与应用iptables,守护Linux服务器安全
07-26 1094
Linux中iptables的深入理解与应用
飞行控制领军者 | 边界智控携高安全级飞控系统亮相2025深圳eVTOL展
Spey_Events的博客
07-25 747
目前,边界智控在团队、产品、技术、业务及融资等各方面均实现了业内领先。2025 深圳eVTOL展的举办,为全球eVTOL产业链搭建了高规格、国际化的交流合作平台,全面多维地彰显了参展企业的卓越实力与行业引领地位,更为推动 eVTOL产业向高质量、规范化、规模化方向发展提供了有力支撑,对引领低空经济未来发展具有重要意义。作为eVTOL飞行控制领域的核心赋能者,边界科技将借此国际平台,全面展示其在核心技术领域的最新突破,与全球业界同仁深入交流前沿理念,共同探讨飞控系统对于推动eVTOL产业发展的核心驱动作用。
输电线路微气象在线监测装置:保障电网安全的科技屏障
WHFENGHE的博客
07-24 485
输电线路微气象在线监测装置通过集成高精度传感器和智能分析技术,实时监测线路环境参数(覆冰厚度、风速风向、温湿度等),具备IP67防护等级和-40℃至85℃工作范围。该装置采用太阳能+锂电池供电,支持4G/5G/北斗多模通信,能提前4-6小时预警覆冰等灾害,降低60%运维成本,适用于高海拔、沿海等复杂环境。未来将结合AI和无人机技术,实现更智能的电网安全管理。
多租户Kubernetes集群架构设计实践——隔离、安全与弹性扩缩容
qq_35716689的博客
07-27 696
深入探讨多租户Kubernetes集群的架构设计,涵盖命名空间隔离、网络安全策略、资源配额与弹性扩缩容实践,为企业级场景提供可落地方案。
2025年区块链安全威胁全景:新兴漏洞、攻击向量与防护策略深度解析
sheep8888的博客
07-24 874
威胁复杂度急剧上升2025年攻击平均复杂度达到8.7/10AI驱动攻击成为主要威胁向量跨协议攻击占比超过67%经济损失持续增长2024年总损失超过42亿美元单次攻击平均损失496万美元跨链桥攻击损失最为严重防护技术快速发展AI防御系统检测率达87%形式化验证应用率提升至67%多层防护架构成为标准行业协作日益重要安全信息共享成为常态标准化进程加速推进跨协议安全协调机制建立。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值