[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

最新推荐文章于 2025-04-02 23:35:12 发布
最新推荐文章于 2025-04-02 23:35:12 发布
阅读量1.6k 收藏 23
点赞数 21
CC 4.0 BY-SA版权
文章标签: 笔记 网络 安全
原文链接:https://blog.youkuaiyun.com/qq_51577576/article/details/130119020

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录
  • 🍬 博主介绍
  • 一、环境介绍
  • 二、Windows日志
  • * 1、Windows日志介绍
    • 2、系统日志
    • 3、应用程序日志
    • 4、安全日志
  • 三、提取日志
  • * 1.evtx提取安全日志
    • 2.事件查看器提取安全日志
  • 四、相关资源

一、环境介绍

在应急响应过程中,提取日志进行日志分析是必须的。
这里简单介绍一下windows日志,以及采用evtx提取安全日志和事件查看器提取安全日志。

二、Windows日志

1、Windows日志介绍

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

系统日志和应用程序日志存储着故障排除信息,对于系统管理员更为有用。

安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

2、系统日志

Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\System.evtx

3、应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。
如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\Application.evtx

4、安全日志

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。
日志的默认位置为:

C:\Windows\System32\winevt\Logs\Security.evtx

三、提取日志

1.evtx提取安全日志

evtx下载链接在文末给出
首先使用evtx提取系统的日志,将evtx工具传到windows server 2012服务器上,因为该服务为64位,所以进入到 evtx_0x64
目录

在这里插入图片描述

之后以管理员身份运行 evtx.exe 文件

在这里插入图片描述

提取出来的日志如下

在这里插入图片描述

2.事件查看器提取安全日志

打开事件查看器,打开方式如下:
1、控制面板–>系统和安全–>管理工具中打开时间查看器
2、win+R,输入eventvwr.msc,直接进入事件查看器;

在这里插入图片描述

点开 windows日志,点击右边的所有事件另存为

在这里插入图片描述

日志就保存出来了

在这里插入图片描述

四、相关资源

1、evtx下载链接

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

Windows安全基础-日志、WSUS及注册表
CC210231的博客
04-09 4381
Windows安全基础学习笔记第二:日志、WSUS及注册表
win7产生大量evtx文件_闲聊Windows系统日志
weixin_39872872的博客
01-17 2217
原标题:闲聊Windows系统日志* 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止转载前言最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着...
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python从
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2728
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Windows 实战-evtx 文件分析--笔记
最新发布
2301_80216972的博客
04-02 1180
(1)过滤来自 Mysql 服务的事件记录, Mysql 服务的事件 id 为 100(2)CTRL+F 搜索start,定位到。
事件查看器日志详解
huike008的博客
06-23 836
事件查看器日志详解 ●帐号登录事件(事件编号与描述) 672 身份验证服务(AS)票证得到成功发行与验证。 673 票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。 674 安全主体重建AS票证或TGS票证。 675 预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心(KD...
evtViewer:Ms 事件 (*.evt) 日志文件查看器-开源
07-03
evtViewer 是用 PERL 编写的 Ms 事件 (*.evt) 日志文件查看器
java输出windows系统日志_闲聊Windows系统日志
weixin_31585653的博客
03-02 2243
title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:38:54阅读 4.2K0\ ...
应急响应】2020应急响应基础-Windows、Linux合集_kali tomcat应急响应
2401_89791770的博客
01-13 1613
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。日志默认存放位置:/var/log/查看日志配置情况:more /etc/rsyslog.conf日志文件说明记录了系统定时任务相关的日志记录打印信息的日志记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息记录邮件信息记录系统重要信息的日志。
Windows操作系统安全配置缺陷自动检测技术
weixin_46605806的博客
10-28 8155
目录一,绪论与背景1.1,绪论1.1.1,项目概述与背景1.1.2,定义与术语二,需求分析2.1,系统设计概述2.1.1,需求分析2.1.2,概要设计2.2,功能设计2.3,功能需求三,详细设计3.1,系统结构设计3.2,模块设计3.2.1,弱口令检测3.2.2,端口扫描检测3.2.3,本地安全检测3.2.4,系统版本及补丁检测3.2.5,网络配置检测3.2.6,安全日志检测3.3,程序函数清单设计成果设计心得 一,绪论与背景 1.1,绪论 近年来,随着人类社会的进步和信息技术的发展,人类在能源、环境、交通
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
Windows实战-evtx文件分析——玄机靶场
weixin_47472573的博客
11-22 1898
windows下的日志分析
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 4474
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
探索Windows日志的新维度:EVTX,一款跨平台的解析利器
gitblog_00471的博客
08-25 991
探索Windows日志的新维度:EVTX,一款跨平台的解析利器 项目地址:https://gitcode.com/gh_mirrors/ev/evtx 在数字取证和系统管理领域,Windows事件日志是不可或缺的数据来源。然而,有效地解析这些日志文件,尤其是在非Windows平台上,历来是一个挑战。今天,我们向您隆重推介——EVTX,一个专为解决这一难题而生的开源项目。 项目介绍 EVTX是一个革...
系统日志分析
来日可期的博客
12-12 3120
日志分析是指对系统、应用程序或网络设备生成的日志进行收集、解析和分析的过程。通过对日志数据进行分析,可以获得有关系统运行状态、故障排查、性能优化、安全审计等方面的有用信息。
Windows事件日志分析工具介绍,零基础入门到精通,收藏这一就够了
Python_0011的博客
12-17 1837
6、连接其他计算机事件查看器不仅可以显示本地计算机的日志,还可以配置为收集来自网络中其他计算机的日志。7、日志事件导出右键点击你想要导出的日志或在右侧菜单栏,选择“将所有事件另存为”,然后选择保存路径和文件格式,即可完成导出。03命令行工具 (wevtutil)1、打开命令行窗口按下Win + R键,打开“运行”对话框。输入cmd,点击确定或回车。2、基本命令获取wevtutil的帮助信息wevtutil /?3、使用案例参考041、打开PowerShell按下Win + R键,打开“运行”对话框。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值