基于ELK的Windows系統安全風險分析的研究探索

阮曉龍 馮順磊

摘? 要： 操作系統安全尤其是Windows操作系統安全廣受重視，如何分析Windows系統運行情況、評估Windows系統安全風險，實現Windows系統安全威脅感知是網絡安全研究的重要方向。本文以ELK為基礎，從日志分析角度入手，建立海量實時日志分析平臺，高效利用Windows系統事件日志，挖掘Windows事件日志價值，實現Windows系統日志審計與分析，完成系統安全風險評估與威脅感知。

關鍵詞： ELK;Windows事件日志;日志分析;系統安全

【Abstract】： The security of the operating system， especially the security of the windows operating system， has been paid more and more attention. How to analyze the operation of the windows system， evaluate the security risk of the windows system， and realize the security threat awareness of the windows system is an important direction of the network security research. Based on elk and from the perspective of log analysis， this paper establishes a massive real- time log analysis platform， makes efficient use of windows system event log， excavates the value of windows event log， realizes windows system log audit and analysis， and completes system security risk assessment and threat perception.

【Key words】： ELK; Windows; Log analysis; System safety

0? 引言

根據NetMarketShare 2019全球操作系統市場調研，Windows操作系統仍以87.48%的比例占據最大份額，Windows操作系統依舊是使用最為廣泛的操作系統，Windows系統的安全防護顯得尤為重要。Windows系統的安全防護可從Windows事件日志開始，Windows事件日志中記錄著操作系統、應用程序以及用戶操作情況，是系統運行的重要痕跡信息[1]。采集Windows事件日志，挖掘Windows事件日志價值，分析事件日志產生原因，歸納安全事件發生規律，可有效感知Windows操作系統運行狀態與安全風險[2]。

通過ELK可建設集中式Windows事件日志分析與安全風險感知平臺，統一采集Windows系統事件日志，集中存儲、實時分析、可視化呈現。依托集中式Windows事件日志分析與風險感知平臺可審計Windows系統運行狀態與安全風險，精細化感知操作系統層面的安全與服務，并以此實現系統安全審計與危險操作行為溯源。

1? Windows日志

1.1? 日志審計

Windows核心日志文件有系統（System）、安全（Security）和應用程序（Application）三種，各類型日志的詳細描述信息與存儲位置如表1所示。

1.2? 日志解讀

通過事件查看器查看Windows日志信息，選擇其中一條日志解讀如下。……