Windows日志系統(tǒng)及其利用

齊玉斌 王蕾 霍翠玲

摘要：介紹了Windows日志系統(tǒng)的組成、結(jié)構(gòu)及查閱等，討論了其在入侵事件分析中的應(yīng)用，給出了分析日志系統(tǒng)并用于入侵事件分析的方法。

關(guān)鍵詞：Windows;日志文件;入侵分析

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）22-0225-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（0SID）：

Windows操作系統(tǒng)及其應(yīng)用服務(wù)系統(tǒng)在運行過程中，為了審計各類用戶的各種操作，廣泛使用日志系統(tǒng)對各類事件進(jìn)行記錄，形成大量的日志信息，主要包括：Windows操作系統(tǒng)事件日志（Event Log），Windows應(yīng)用服務(wù)系統(tǒng)的ns日志、FIP日志、Exchange Server郵件服務(wù)日志、SQL Server數(shù)據(jù)庫日志等。由于日志系統(tǒng)信息的原始性、可靠性，在處理系統(tǒng)應(yīng)急事件過程中，可以提供出有效的溯源信息，所以日志信息在調(diào)查取證和事件溯源中發(fā)揮著重要作用。

本文以Windows操作系統(tǒng)的日志信息進(jìn)行說明。

1 日志系統(tǒng)的組成

1.1日志文件

Windows操作系統(tǒng)的事件日志信息分為系統(tǒng)、安全、應(yīng)用程序三種，對應(yīng)的文件分別為SysEvent.evtx，SecEvent. evtx和AppEvent. evtx，這三個文件存在于系統(tǒng)文件夾下的Sys-tem32＼Config文件夾下（不同Windows版本下存放的位置有變化，可查閱系統(tǒng)手冊獲知具體版本下的保存位置）。由于受系統(tǒng)事件記錄（Event Log）服務(wù)的保護(hù)，上述三個文件不能被刪除，但其中的日志記錄可以被管理員用戶通過管理界面清空。

三個核心日志文件的默認(rèn)大小均為20MB，當(dāng)記錄的日志信息增多而使文件大小超過20MB時，按默認(rèn)規(guī)則將按“先形成、先覆蓋”的隊列結(jié)構(gòu)原則替換早期的日志記錄。

1.2信息結(jié)構(gòu)

文件中每條日志信息均以特定的、相同的數(shù)據(jù)結(jié)構(gòu)，按類存儲在特定文件中。每條日志的數(shù)據(jù)結(jié)構(gòu)有9個字段組成，即：日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數(shù)據(jù)等信息。通過這9個字段，可以分析得出該條日志所反映出的、在計算機上發(fā)生的具體事件行為。

2 日志分類

Windows事件日志分為五種事件類型，所有的事件日志項必須是這五種事件類型中的一種，且只可以是其中一種[1]。這五種事件類型如下。

（1）信息（Information）

信息事件用來記錄由應(yīng)用程序、驅(qū)動程序或系統(tǒng)服務(wù)程序的成功運行及順利操作而正常形成或發(fā)生的事件。

（2）警告（Warning）

警告事件是指發(fā)生了按既有規(guī)則、在將來可能發(fā)生問題的事件，此時系統(tǒng)并沒有真正發(fā)生問題。例如，當(dāng)外部存貯器（如C盤）可用空間不足或未找到系統(tǒng)中安裝的打印機時，就會產(chǎn)生一個“警告”日志。

（3）錯誤（Error）

錯誤事件是指系統(tǒng)內(nèi)發(fā)生了當(dāng)前用戶應(yīng)該知道的重要問題，往往是系統(tǒng)某方面的功能或重要有效數(shù)據(jù)的丟失。例如，如果一個設(shè)置為自啟動的服務(wù)不能被系統(tǒng)進(jìn)行有效加載運行，就會產(chǎn)生一個錯誤事件在日志文件中進(jìn)行記錄。

（4）成功審核（Success audit）

成功審核主要出現(xiàn)在安全性日志中，反映權(quán)限確認(rèn)、安全訪問等操作成功，主要包括了用戶登錄/注銷、對象訪問、特權(quán)使用、賬戶管理、策略更改、詳細(xì)跟蹤、目錄服務(wù)訪問、賬號登錄等事件。例如，用戶（賬號）所有的成功登錄系統(tǒng)，都會在安全性日志中被記錄為“成功審核”事件。

（5）失敗審核（Failure audit）

與“成功審核”相反，如果因關(guān)鍵字、權(quán)限等原因，未能成功進(jìn)行系統(tǒng)操作，則在安全性日志中被記錄為失敗審核事件。例如，用戶因賬號或密碼錯誤未能登錄系統(tǒng)，則這種登錄嘗試會被作為失敗審核事件進(jìn)行記錄。

3 日志系統(tǒng)的審看與操作

使用Windows操作系統(tǒng)提供的事件查看器工具，即可查看、分析所有的Windows系統(tǒng)日志。運行事件查看器的方法：開始一運行一輸入eventvwr -回車，即可快速打開事件查看器窗口，窗口如圖1所示。

圖中左側(cè)窗格可見Windows日志下的：應(yīng)用程序、安全和系統(tǒng)日志等。選中“應(yīng)用程序”，中間窗格上部列出所有的應(yīng)用程序日志事件，選中其中一個日志，則在中間窗格下部列出該日志事件的細(xì)節(jié)，如日志的名稱、來源、ID、級別等。

默認(rèn)設(shè)置下，日志文件大小為20M，可以保留上萬條的日志事件信息。為方便對日志事件的操作，在圖1的右側(cè)窗格提供了對日志事件的各種操作。

“清除日志”：對無保留價值的日志事件進(jìn)行刪除;

“篩選當(dāng)前日志”：按指定的條件，對中間上部窗格中的事件進(jìn)行過濾篩選，以減少日志列表長度，方便查找、使用。

“查找”：按指定的關(guān)鍵字在日志列表中進(jìn)行查找。

“將所有事件另存為”：把日志列表中的日志事件保存為文件，文件格式可以為：evtx，xml，txt，csv等。

“打開保存的日志”：打開上述保存的日志事件文件，在中間上部窗格顯示。

4 日志事件標(biāo)識及登錄類型

以在進(jìn)行系統(tǒng)入侵分析時，應(yīng)用較為普遍的安全日志事件為例。每個事件均分配有一個事件ID，該代碼是事件種類的標(biāo)識，用來說明事件的含義[2]。常用的事件ID如表1所示。 從表1可以看出事件4624、4625是進(jìn)行入侵分析時最關(guān)注的兩類事件。這是因為4624說明賬號成功登錄了系統(tǒng)，而4625說明賬號沒有成功登錄系統(tǒng)。如果在分析過程中，發(fā)現(xiàn)在短時間內(nèi)有大量的4625事件，則說明可能有人在嘗試使用程序進(jìn)行暴力或字典登錄系統(tǒng)。

操作系統(tǒng)登錄可能發(fā)生在本機，也可能通過網(wǎng)絡(luò)發(fā)生;即使在本機，可能是操作系統(tǒng)啟動時的登錄，也有可能是運行中的服務(wù)程序向系統(tǒng)登錄[3]。在判斷登錄方式時，可參考其登錄類型碼，見表2。

5 日志事件的分析

通過Windows操作系統(tǒng)的“事件查看器”工具，可以對日志事件進(jìn)行初步的查看、分析，但由于日志事件的數(shù)量太過龐大，所以在進(jìn)行精細(xì)分析時，往往要借助一些日志分析工具軟件，或自行開發(fā)有針對性的分析程序。

5.1 日志分析軟件

有許多可以用于Windows日志事件分析的工具軟件，如SolarWinds Log& Event Manager、Splunk、EventTracker等。這些軟件能夠?qū)崟r監(jiān)控日志和數(shù)據(jù)，按特定的策略產(chǎn)生日志事件清單，方便用戶進(jìn)行事件分析與追蹤。

5.2 按需要設(shè)計分析程序

上述現(xiàn)有的日志分析軟件，有時難以滿足個性化的事件分析需要，而Microsoft的.net開發(fā)環(huán)境提供了對日志事件的記錄、讀取、刪除等操作的支持[4]。以C#.net為例，在System.Diagnos-tics命名空間中提供了EventLog等專門用于對日志事件進(jìn)行操作的類，用戶可以使用這個類完成個性化的日志查找、分析、追蹤等操作。

Windows操作系統(tǒng)的日志信息忠實記錄了系統(tǒng)、安全、應(yīng)用程序等的響應(yīng)事件，對分析操作系統(tǒng)的運行效率、執(zhí)行流程有很大的幫助作用;同時，在計算機安全領(lǐng)域，對分析非法入侵的途徑、方法，及時封堵系統(tǒng)漏洞，提升系統(tǒng)安全性等，也可以提供了強有力地支撐。

參考文獻(xiàn)：

[1]黃杰鋒，龍華秋，容振邦.監(jiān)督學(xué)習(xí)主導(dǎo)下惡意代碼行為分析與特征碼提取的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（10）：45-46.

[2]陳騾.計算機惡意代碼的檢測與查殺[J].工程技術(shù)研究，2018（11）：192-193.

[3]童瀛，牛博威，周宇，等.基于沙箱技術(shù)的惡意代碼行為檢測方法[J].西安郵電大學(xué)學(xué)報，2018，23（5）：101-110.

[4]孫澤浩.基于深度學(xué)習(xí)的惡意代碼檢測技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：61-62，67.

【通聯(lián)編輯：代影】