- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
要解决的问题 在开始本文的内容之前,我们需要先在脑海里记住以下几个问题,并带着这些问题来阅读本文: 1、Sysmon日志中,Event ID 11相关的事件日志总共有多少? Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI操作等活动,通过分析Sysmon日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。 Event ID Sysmon日志中所使用的全部Event ID都已经在微软的Sysmon页面上进行了介绍,其中包括: 1:进程创建 2:文件创建时间修改 3:网络连接 5:进程终止 11:文件创建 12 此时,还可以使用findstr(类似于Linux中的grep)来获取包含4292的日志条目,而4292则是之前进程分析中Firefox的进程ID。
2.1K10编辑于 2024-05-17 - 来自专栏WalkingCloud
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控 Sysmon系统监视器是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,系统重启后,它仍驻留在系统重启中, 请注意 ,Sysmon 不提供其生成的事件的分析,也不尝试保护或隐藏自身免受攻击者的攻击。 => sysmonout </Route> (图片可点击放大查看) 3、启动nxlog服务 (图片可点击放大查看) 4、GrayLog配置Input 这里为了区别系统日志与Sysmon日志 /udp firewall-cmd --permanent --zone=public --add-port=1518/udp firewall-cmd --reload (图片可点击放大查看) 5、 测试sysmon日志 例如命令行ping www.baidu.com (图片可点击放大查看) 可以查到DNS查询日志和命令行进程日志 (图片可点击放大查看) (图片可点击放大查看)
4.2K20编辑于 2022-03-31 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 CreateTime; ULONG SidLength; ULONG XXXXXXX; SID UserSid; CHAR Data[1]; }; 可以看到数据有进程id、 父进程id、事件创建时间、UserSid 5. ULONG OperateEventType; ULONG ParentPid; LARGE_INTEGER CreateTime; ULONG ProcessPid; ULOG DataLenth[5] ; CHAR Data[1]; }; 这里要说明的是附加数据段有5个数据 UserSid RegistryOperateName 进程名带参数 KeyName ValueName 其中RegistryOperateName
1.5K20发布于 2020-10-27 - 来自专栏about云
日志分析实战之清洗日志小实例5:实现获取不能访问url
about云日志分析实战之清洗日志4:统计网站相关信息 http://www.aboutyun.com/forum.php? val languageToCount = Map("Scala" -> 10, "Java" -> 20, "Ruby" -> 5) languageToCount map { case (_, count
1K50发布于 2018-03-26 - 来自专栏全栈程序员必看
Windows系统日志分析_python日志采集分析
四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1. 五、WEB日志文件分析 以下列日志记录为例,进行分析: #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 表示程序有错; sc-substatus 服务端传送到客户端的字节大小; cs–win32-statu客户端传送到服务端的字节大小; 1**:请求收到,继续处理 2**:操作成功收到,分析 、接受 3**:完成此请求必须进一步处理 4**:请求包含一个错误语法或不能完成 5**:服务器执行一个完全有效请求失败 100——客户必须继续发出请求 101——客户要求服务器根据请求转换 有时是为了防止发生系统过载 503——服务器过载或暂停维修 504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长 505——服务器不支持或拒绝支请求头中指定的HTTP版本 FTP日志分析
2.4K10编辑于 2022-10-04 - 来自专栏日志易的专栏
5分钟短视频,带你走进日志易SPL,助你日志分析更容易
日志易是一个配置灵活、功能强大、容易使用的日志管理工具,它对日志进行集中采集和实时索引,提供搜索、分析、可视化和监控告警等功能,帮助企业进行线上业务实时监控、业务异常原因定位、业务日志数据统计分析、安全与合规审计 本公司提供在大中型企业内部数据中心部署的日志易企业版,也通过公有云提供 SaaS 服务。 视频内容 日志易SaaS产品免费体验请:点我 典型应用场景 l 统一运维日志平台 l 网络设备、安全设备日志审计 l 数据脱敏及生命周期管理 l 用户行为分析 l Web 中间件运营分析 l 业务日志分析 行业案例(关注日志易公众号,回复【案例】) l 金融支付行业案例 l 商业银行案例 l 基金行业案例 l 航空行业案例 l 电力行业案例
1.6K100发布于 2018-01-16 - 来自专栏技术专栏
慕课网Spark SQL日志分析 - 5.DateFrame&Dataset
5.DateFrame&Dataset 1.DateFrame产生背景 DataFrame 不是Spark Sql提出的。而是在早起的Python、R、Pandas语言中就早就有了的。 age|count| // +----+-----+ // | 19| 1| // |null| 1| // | 30| 1| // +----+-----+ spark.stop() } } 5.
99210发布于 2018-09-12 - 来自专栏OneMoreThink的专栏
应急靶场(11):【玄机】日志分析-apache日志分析
1、提交当天访问次数最多的IP,即黑客IP 已知中间件是Linux上的Apache,常见日志路径一般是: /var/log/apache/ /var/log/apache2/ /var/log/httpd / 这里定位到日志路径是/var/log/apache2。 通过命令ls -lah根据文件大小,判断日志文件是access.log.1,因为access.log的大小是0。 需要注意的是,echo命令默认情况下会在输出的文本末尾自动添加换行符,这会影响md5值的计算结果,因此echo命令需要带上-n参数,禁止输出换行符,否则计算出的md5值是错误的。 flag{5}
1K10编辑于 2024-10-15 - 来自专栏程序员奇点
GC 日志分析
GC 日志分析 首先,如果需要查看 GC 日志,需要在 jvm 参数中加入如下参数 -XX:+PrintGCTimeStamps -XX:+PrintGCDetails -Xloggc:d:/GClogs /tomcat6-gc.log GC 日志 2016-11-23T11:01:27.738+0800: 0.150: [GC [PSYoungGen: 331K->288K(5952K)] 331K- PSPermGen: 3060K->3060K(21248K)], 0.0052429 secs] [Times: user=0.01 sys=0.00, real=0.01 secs] Young GC 日志 image Full GC 日志分析 ? image JVM 参数设置 jvm 参数对应堆内存设置 ? image 比例设置 ? 32M) -XX:MaxGCPauseMillis=500 :设置最大暂停时间(毫秒) -XX:+DisableExplicitGC:禁止显示GC的调用(即禁止开发者的 System.gc();) GC日志
1.7K10发布于 2020-05-08 - 来自专栏全栈程序员必看
Window日志分析
C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的 net user USER PASSWORD /add net localgroup administrators USER /add 0x02 日志分析工具 A、Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where Eve ntID=4624" LogParser.exe 创建的进程过程: LogParser.exe -i:EVT –o:DATAGRID “SELECT TimeGenerated as Creationtime,EXTRACT_TOKEN(Strings,5,
1.3K30编辑于 2022-09-07 - 来自专栏互联网老辛
nginx日志分析
在nginx.conf中定义的日志格式如下: http { ... http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; ... } 日志文件如下 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36" "-" nginx没有命令直接将日志按天分割 access-api-$(date -d "yesterday" +"%Y%m%d").log cron: 0 0 * * * /mydata/nginx/nginx.log.sh 从nginx服务器将日志数据传输到日志服务器 request_method = s.group(3) request_url = s.group(4) status = s.group(5)
1.3K30发布于 2018-07-30 - 来自专栏全栈程序员必看
AWStats日志分析
AWStats日志分析系统介绍 1.AWStats日志分析系统 (1)Peri语言开发的一款开源日志分析系统 (2)可用来分析Apache、Samba、 Vsftpd、 IIS等服务 器的访问日志 (3 )信息结合crond等计划任务服务,可对日志内容定期进行分析 部署AWStats日志分析系统 1.安装AWStats软件包 2.为要统计的站点建立配置文件 3.修改站点统计配置文件 4.执行日志分析,并设置 crontab计划任务 访问AWStats分析系统 1.查看统计页面 2.设置网页自动跳转,方便访问 具体操作: 1.安装DNS和HTTP服务软件包 [root@localhost ~]# yum install localhost named]# systemctl start httpd 4.Windows 10配置 (1)在win10主机上更改下DNS地址 (2)在浏览器上访问域名,保证能够进行对Apache访问 5. /awstats_updateall.pl now //更新数据 11.计划性任务更新数据,并启动 [root@localhost tools]# crontab -e */5 *
93610编辑于 2022-09-13 - 来自专栏有价值炮灰
Nginx日志分析
日志采用默认的格式产生,一直也没太关注, 这次正好藉着博客改版,尝试分析下近期的日志,以对网站状态有个全局的了解。 扯得有点远了,还是继续分析日志吧。 ,其中最高那里是5月31号端午节我在博客园发新博客的时候。 错误日志分析 错误日志也叫应用程序日志,主要用于方便开发者或者运维在出问题的时候排查原因。 分析 错误日志相对于访问日志要少(废话),但从中也能找到对我们有价值的信息。
1.9K30编辑于 2023-02-12 - 来自专栏Bypass
Window日志分析
0x03 事件日志分析 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明: 事件ID 说明 4624 登录成功 4625 登录失败 4634 注销成功 5 服务(Service) 每种服务都被配置在某个特定的用户账号下运行。 7 解锁(Unlock) 屏保解锁。 0x04 日志分析工具 Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志 它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 Event Log Explorer Event Log Explorer是一款非常好用的Windows日志分析工具。
2.7K20发布于 2019-07-08 - 来自专栏linux运维
日志分析问题:日志文件格式复杂,难以分析
常见的日志分析问题及解决方案2.1 日志文件格式不统一问题:日志文件格式不统一,导致难以进行统一分析。解决方案:使用日志解析工具将日志文件转换为统一格式。 :日志文件内容复杂,难以直接分析。 解决方案:使用日志分析工具提取关键信息。 解决方案:使用日志聚合和分析工具进行大规模分析。 4.2 优化分析建议:根据系统的变化和新的日志需求,及时优化日志分析工具和配置。
61010编辑于 2025-02-07 - 来自专栏FreeBuf
使用Sysmon和Splunk探测网络环境中横向渗透
当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n ? 本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建 在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ? 然后通过分析当前的Windows事件日志,辨别进程的创建/终止,网络连接的建立/销毁来区别正常与异常的SMB会话。 探测攻击者使用PowerShell进行横向渗透。
2.6K70发布于 2018-02-09 - 来自专栏ffffffff0x
安全蓝队 : windows日志检索和分析
前言 在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。 除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。 默认位置: %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx [2.png] 事件级别 在事件日志中有5个事件级别。 [5.png] --- 日志工具 Sysmon [6.png] Sysmon 是微软的一款轻量级的系统监控工具,最开始是由 Sysinternals 开发的,后来 Sysinternals 被微软收购, logparser logparser 是一款 windows 日志分析工具,访问这里下载 https://www.microsoft.com/en-us/download/details.aspx?
4.2K21发布于 2021-01-06 - 来自专栏OneMoreThink的专栏
应急实战(9):一次简简单单的应急
Prepare 1.1 开启日志记录 开启sysmon日志记录 开启apache日志记录 开启mysql日志记录 1.2 优化日志策略 优化security日志覆盖策略 2. 4.3 通过Webshell创建的后门 排查sysmon日志,发现第一轮攻击执行的6个webshell命令,只有4个执行成功: 1、利用echo命令直接写入webshell文件5d.php; 2、同上 4、同上 继续排查sysmon日志,第二轮攻击执行的webshell命令与第一轮相同,直接贴图: 1、 2、 3、 4、 目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对下载的恶意程序gauexjqv.exe 日志无法获取更多信息,因此使用沙箱对恶意程序svchost.com进行分析。 分析结果:https://s.threatbook.com/report/file/8455d1832df2da3b327d6fb0e030643f5d5415fb3076c11ac05846c99421b88b
26210编辑于 2024-10-15 - 来自专栏中国白客联盟
基于splunk的主机日志整合并分析
大家都知道,主机日志格式过于杂乱对于日后的分析造成了不小的困扰,而splunk的轻便型、便携性、易安装性造就了其是一个日志分析的好帮手。 但是有一点,windows默认的自带日志除了登录日志对我们有点用处以外,其他的貌似用户不大,对于分析人员来说,可能更想看到的是哪个文件执行了具体的历史命令,那我们这里就要介绍以windows记录详细日志的 sysmon为例,把sysmon日志也同步过来。 首先我们在服务端上安装好sysmon 装好以后会在日志目录在出现sysmon日志文件 ? 我们可以先打开sysmon日志看下,发现日志比windows自带日志详细很多 ? = true 修改完以后最好重启一下,然后我们看下客户端,发现能够看到sysmon的日志也同步过来了,能够利用各种搜索语句便于我们后续的分析 ?
1.8K20发布于 2018-08-20 - 来自专栏网络安全
威胁狩猎精准配置指南
它作为一个系统服务和设备驱动程序运行,用于监控和记录系统活动到Windows事件日志中。 与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? Sysmon记录关于进程创建、网络连接、文件创建时间变更等详细信息。这些日志通常会被转发到SIEM(安全信息和事件管理)系统中进行聚合、关联和可视化分析,帮助分析师识别恶意或异常活动。 #####日志位置(LogLocation)Sysmon的事件日志存储在事件查看器的以下路径:ApplicationsandServicesLogs/Microsoft/Windows/Sysmon/Operational1 Bash展开代码语言:TXTAI代码解释#假设Sysmon.exe和配置文件位于同一目录下Sysmon.exe-accepteula-iswift.xml3.日志分析与最佳实践(LogAnalysisandBestPractices
24610编辑于 2026-01-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号