- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
要解决的问题 在开始本文的内容之前,我们需要先在脑海里记住以下几个问题,并带着这些问题来阅读本文: 1、Sysmon日志中,Event ID 11相关的事件日志总共有多少? Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI操作等活动,通过分析Sysmon日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。 Event ID Sysmon日志中所使用的全部Event ID都已经在微软的Sysmon页面上进行了介绍,其中包括: 1:进程创建 2:文件创建时间修改 3:网络连接 5:进程终止 11:文件创建 12 ,其中有56条日志与Event ID 11有关。
2.1K10编辑于 2024-05-17 - 来自专栏OneMoreThink的专栏
应急靶场(11):【玄机】日志分析-apache日志分析
1、提交当天访问次数最多的IP,即黑客IP 已知中间件是Linux上的Apache,常见日志路径一般是: /var/log/apache/ /var/log/apache2/ /var/log/httpd / 这里定位到日志路径是/var/log/apache2。 通过命令ls -lah根据文件大小,判断日志文件是access.log.1,因为access.log的大小是0。
1K10编辑于 2024-10-15 - 来自专栏WalkingCloud
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控 Sysmon系统监视器是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,系统重启后,它仍驻留在系统重启中, 通过使用 Windows 事件收集或 SIEM 代理收集它生成的事件并随后分析这些事件,可以识别恶意或异常活动,并了解攻击者和恶意软件如何在你的网络上运行。 请注意 ,Sysmon 不提供其生成的事件的分析,也不尝试保护或隐藏自身免受攻击者的攻击。 => sysmonout </Route> (图片可点击放大查看) 3、启动nxlog服务 (图片可点击放大查看) 4、GrayLog配置Input 这里为了区别系统日志与Sysmon日志 日志 例如命令行ping www.baidu.com (图片可点击放大查看) 可以查到DNS查询日志和命令行进程日志 (图片可点击放大查看) (图片可点击放大查看)
4.2K20编辑于 2022-03-31 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 算法id,hashvalue、三组进程相关的数据用户UserSid、进程ImageFileName、文件名FileName 可以看到内核里上报出来的事件类型是根据是否计算hash来判断,分别是10 、11 BYTE OutBuffer[4002] = { 0 }; ULONG BytesReturned = 0; if ( SUCCEEDED( DeviceIoControl( hObjectDrv, SYSMON_REQUEST_PROCESS_INFO 今天的续篇就此结束,sysmon还是可以挖掘很多很实用得东西,比如每个事件里得ProcessGuid 并不是随机生成得,而是有一定算法得,具体读者可以自行研究发现。 ?
1.5K20发布于 2020-10-27 - 来自专栏Java架构师必看
JAVA基础(11) 系统日志
系统日志的概念及作用 日志系统作为一种应用程序服务,对于跟踪调试、程序状态记录、崩溃数据恢复都有着重要的作用 常用Java日志系统 Log4J 最早的Java日志框架之一,由Apache基金会发起 ,提供灵活而强大的日志记录机制。 ,输出格式,通过设置日志信息的级别还可以细致地控制日志的生成过程.Log4j有三个主要的组件:Loggers(记录器),Appenders(输出源)和Layouts(布局),这里可简单理解为日志类别,日志要输出的地方和日志以何种形式输出 3.Layout:格式化输出日志信息 Appender必须使用一个与之相关联的 Layout,这样才能知道怎样格式化输出日志信息 Log4j具有三种类型的Layout HTMLLayout 格式化日志输出为 Layouts提供了四种日志输出样式,如HTML样式、自由指定样式、包含日志级别与信息的样式和包含日志时间、线程、类别等信息的样式等等。
77020发布于 2021-05-27 - 来自专栏技术杂记
日志服务器(11)
数据库连接正常,并且准备创建相应表 Note: 这个过程中要确保 php-mysql 包存在,否则无法与mysql 连接,会出现如下的界面 Tip: 遇到这种情况,先检查一下 php-mysql ,然后重新加载环境变量,重启一下 httpd 服务 安装 php-mysql 的过程 [root@h105 loganalyzer-3.6.6]# yum clean all Loaded plugins: fastestmirror, refresh-packagekit, security Repos
78320发布于 2021-10-20 - 来自专栏网络安全
威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? Sysmon记录关于进程创建、网络连接、文件创建时间变更等详细信息。这些日志通常会被转发到SIEM(安全信息和事件管理)系统中进行聚合、关联和可视化分析,帮助分析师识别恶意或异常活动。 #####日志位置(LogLocation)Sysmon的事件日志存储在事件查看器的以下路径:ApplicationsandServicesLogs/Microsoft/Windows/Sysmon/Operational1 StartAddress><SourceImagecondition="contains">\</SourceImage></CreateRemoteThread></RuleGroup>EventID11 Bash展开代码语言:TXTAI代码解释#假设Sysmon.exe和配置文件位于同一目录下Sysmon.exe-accepteula-iswift.xml3.日志分析与最佳实践(LogAnalysisandBestPractices
24610编辑于 2026-01-08 - 来自专栏全栈程序员必看
Windows系统日志分析_python日志采集分析
四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1. 五、WEB日志文件分析 以下列日志记录为例,进行分析: #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0 分析 表示程序有错; sc-substatus 服务端传送到客户端的字节大小; cs–win32-statu客户端传送到服务端的字节大小; 1**:请求收到,继续处理 2**:操作成功收到,分析 有时是为了防止发生系统过载 503——服务器过载或暂停维修 504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长 505——服务器不支持或拒绝支请求头中指定的HTTP版本 FTP日志分析
2.4K10编辑于 2022-10-04 - 来自专栏FreeBuf
网络攻防对抗之“左右互搏术”
该方法基于Sysmon日志、ATT&CK标签日志、操作系统日志的分析实践,通过几种典型攻防对抗技术示例,着重介绍和分析攻击在主机层面特征,为蓝队人员“看得见”“看得清”网络威胁,提供了一种简单易学的技术修炼方法 靶机:Windows2016、Windows11、Windows10、CentOS 8、Ubuntu20.04等虚拟机。 本项测试基于Sysmon产生的带有ATT&CK标签的日志。通过ATT&CK技战术分析日志,非常有助于蓝队攻击溯源和威胁狩猎。 结合Sysmon EventID 11或直接查找lsass.dmp文件,或通过ELK自定义搜索结果来快速检索。如下图所示,检测到lsass内存转储行为。 总结 通过以上攻防对抗技术测试,将Sysmon EventID日志、带有ATT&CK标签日志和操作系统等日志,通过SEIM、SOC等安全系统进行关联分析,能有效提升企业网络威胁检测能力。
2K30编辑于 2023-02-24 - 来自专栏Sign
精灵之息 开发日志(11)
但是后期有些精灵出现一些重叠感,而且虽然都是独特的行为模式但是很多精灵让无法给人留下很深的印象
46220发布于 2021-08-27 - 来自专栏悠扬前奏的博客
Kafka-11.设计-日志压缩
日志压缩可以保证Kafka总是最少保留单个主题分区的数据日志中的每个消息的key的最后的已知值。 让我们更详细的介绍这些情况,然后描述是如何压缩的: 到目前为止,我们仅描述了简单一些的数据保留方法,其中旧的日志数据在固定时间段或者当日志达到某个预定大小时被丢弃。 这适用于时间事件数据,例如记录独立的日志记录。但是,一类重要的数据流是keyed更改的日志(例如,对数据库表的更改)。 让我们讨论这种流的具体例子。
74340发布于 2019-06-19 - 来自专栏OneMoreThink的专栏
应急实战(9):一次简简单单的应急
Prepare 1.1 开启日志记录 开启sysmon日志记录 开启apache日志记录 开启mysql日志记录 1.2 优化日志策略 优化security日志覆盖策略 2. 4、同上 继续排查sysmon日志,第二轮攻击执行的webshell命令与第一轮相同,直接贴图: 1、 2、 3、 4、 目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对下载的恶意程序gauexjqv.exe 4.5 通过RDP创建的后门 排查sysmon日志,发现攻击者首先部署了winpcap工具。 日志无法获取更多信息,因此使用沙箱对恶意程序svchost.com进行分析。 分析结果:https://s.threatbook.com/report/file/8455d1832df2da3b327d6fb0e030643f5d5415fb3076c11ac05846c99421b88b
26210编辑于 2024-10-15 - 来自专栏ffffffff0x
安全蓝队 : windows日志检索和分析
前言 在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。 除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。 /Sysmon/Operational Sysmon 日志默认保存在 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx logparser logparser 是一款 windows 日志分析工具,访问这里下载 https://www.microsoft.com/en-us/download/details.aspx? LogParser.exe -i:EVT o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11
4.2K21发布于 2021-01-06 - 来自专栏程序员奇点
GC 日志分析
GC 日志分析 首先,如果需要查看 GC 日志,需要在 jvm 参数中加入如下参数 -XX:+PrintGCTimeStamps -XX:+PrintGCDetails -Xloggc:d:/GClogs /tomcat6-gc.log GC 日志 2016-11-23T11:01:27.738+0800: 0.150: [GC [PSYoungGen: 331K->288K(5952K)] 331K- >288K(19648K), 0.0006495 secs] [Times: user=0.00 sys=0.00, real=0.00 secs] 2016-11-23T11:01:27.739+0800 [Times: user=0.00 sys=0.00, real=0.01 secs] 2016-11-23T11:01:27.859+0800: 0.271: [Full GC (System) [PSYoungGen image Full GC 日志分析 ? image JVM 参数设置 jvm 参数对应堆内存设置 ? image 比例设置 ?
1.7K10发布于 2020-05-08 - 来自专栏全栈程序员必看
Window日志分析
C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的 net user USER PASSWORD /add net localgroup administrators USER /add 0x02 日志分析工具 A、Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory -i:EVT –o:DATAGRID “SELECT * FROM c:\11.evtx where TimeGenerated>’2018-06-19 23:32:11′ and TimeGenerated .evtx where EventID=4688 参考链接: 取证实战:Windows日志分析 http://m.sohu.com/a/148102374_505860/?
1.3K30编辑于 2022-09-07 - 来自专栏互联网老辛
nginx日志分析
在nginx.conf中定义的日志格式如下: http { ... http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; ... } 日志文件如下 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36" "-" nginx没有命令直接将日志按天分割 access-api-$(date -d "yesterday" +"%Y%m%d").log cron: 0 0 * * * /mydata/nginx/nginx.log.sh 从nginx服务器将日志数据传输到日志服务器 04", "May":"05", "Jun":"06", "Jul":"07", "Aug":"08", "Sep":"09", "Oct":"10", "Nov":"11
1.3K30发布于 2018-07-30 - 来自专栏全栈程序员必看
AWStats日志分析
AWStats日志分析系统介绍 1.AWStats日志分析系统 (1)Peri语言开发的一款开源日志分析系统 (2)可用来分析Apache、Samba、 Vsftpd、 IIS等服务 器的访问日志 (3 )信息结合crond等计划任务服务,可对日志内容定期进行分析 部署AWStats日志分析系统 1.安装AWStats软件包 2.为要统计的站点建立配置文件 3.修改站点统计配置文件 4.执行日志分析,并设置 crontab计划任务 访问AWStats分析系统 1.查看统计页面 2.设置网页自动跳转,方便访问 具体操作: 1.安装DNS和HTTP服务软件包 [root@localhost ~]# yum install # systemctl start httpd 4.Windows 10配置 (1)在win10主机上更改下DNS地址 (2)在浏览器上访问域名,保证能够进行对Apache访问 5.此时可以查看下日志文件 /awstats_updateall.pl now //更新数据 11.计划性任务更新数据,并启动 [root@localhost tools]# crontab -e */5 *
93610编辑于 2022-09-13 - 来自专栏有价值炮灰
Nginx日志分析
日志采用默认的格式产生,一直也没太关注, 这次正好藉着博客改版,尝试分析下近期的日志,以对网站状态有个全局的了解。 网上有许多日志分析采用的是简单粗暴的bash脚本(awk)来进行处理, 好处是分析速度快,但坏处是拓展性不强,如果未来想要做图表或者在网页前端展示就比较麻烦了。 扯得有点远了,还是继续分析日志吧。 错误日志分析 错误日志也叫应用程序日志,主要用于方便开发者或者运维在出问题的时候排查原因。 分析 错误日志相对于访问日志要少(废话),但从中也能找到对我们有价值的信息。
1.9K30编辑于 2023-02-12 - 来自专栏Bypass
Window日志分析
0x03 事件日志分析 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明: 事件ID 说明 4624 登录成功 4625 登录失败 4634 注销成功 11 缓存交互(CachedInteractive) 以一个域用户登录而又没有域控制器可用 关于更多EVENT ID,详见微软官方网站上找到了“Windows Vista 和 Windows Server 0x04 日志分析工具 Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志 它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 Event Log Explorer Event Log Explorer是一款非常好用的Windows日志分析工具。
2.7K20发布于 2019-07-08 - 来自专栏linux运维
日志分析问题:日志文件格式复杂,难以分析
常见的日志分析问题及解决方案2.1 日志文件格式不统一问题:日志文件格式不统一,导致难以进行统一分析。解决方案:使用日志解析工具将日志文件转换为统一格式。 :日志文件内容复杂,难以直接分析。 解决方案:使用日志分析工具提取关键信息。 解决方案:使用日志聚合和分析工具进行大规模分析。 4.2 优化分析建议:根据系统的变化和新的日志需求,及时优化日志分析工具和配置。
61010编辑于 2025-02-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号