- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动
要解决的问题 在开始本文的内容之前,我们需要先在脑海里记住以下几个问题,并带着这些问题来阅读本文: 1、Sysmon日志中,Event ID 11相关的事件日志总共有多少? Sysmon 背景 Sysmon日志是由Microsoft系统监视器(Sysmon)生成的事件日志,它们提供有关Windows上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI操作等活动,通过分析Sysmon日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。 Sysmon日志在这项工作中发挥着至关重要的作用,它提供了有价值的见解,并使组织能够加强其安全态势。 此时,还可以使用findstr(类似于Linux中的grep)来获取包含4292的日志条目,而4292则是之前进程分析中Firefox的进程ID。
2.1K10编辑于 2024-05-17 - 来自专栏快乐阿超
MP-p6spy日志分析打印
: com.p6spy.engine.spy.P6SpyDriver username: xxx password: xxx url: jdbc:p6spy:mysql://localhost 然后放入日志配置文件spy.properties到resources目录下 #3.2.1以上使用 modulelist=com.baomidou.mybatisplus.extension.p6spy.MybatisPlusLogFactory ,com.p6spy.engine.outage.P6OutageFactory # 自定义日志打印 logMessageFormat=com.baomidou.mybatisplus.extension.p6spy.P6SpyLogger #日志输出到控制台 appender=com.baomidou.mybatisplus.extension.p6spy.StdoutLogger # 使用日志系统记录 sql #appender=com.p6spy.engine.spy.appender.Slf4JLogger # 是否开启慢SQL记录 outagedetection=true # 慢SQL记录标准 2 秒 outagedetectioninterval=2 接下来我们执行查询测试一下可以看到确实输出SQL分析日志
81130编辑于 2022-08-21 - 来自专栏WalkingCloud
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控 Sysmon系统监视器是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,系统重启后,它仍驻留在系统重启中, 通过使用 Windows 事件收集或 SIEM 代理收集它生成的事件并随后分析这些事件,可以识别恶意或异常活动,并了解攻击者和恶意软件如何在你的网络上运行。 请注意 ,Sysmon 不提供其生成的事件的分析,也不尝试保护或隐藏自身免受攻击者的攻击。 => sysmonout </Route> (图片可点击放大查看) 3、启动nxlog服务 (图片可点击放大查看) 4、GrayLog配置Input 这里为了区别系统日志与Sysmon日志 日志 例如命令行ping www.baidu.com (图片可点击放大查看) 可以查到DNS查询日志和命令行进程日志 (图片可点击放大查看) (图片可点击放大查看)
4.2K20编辑于 2022-03-31 - 来自专栏FreeBuf
微软轻量级系统监控工具sysmon原理与实现完全分析
前情提要: 微软轻量级系统监控工具sysmon内核实现原理 微软轻量级监控工具sysmon原理与实现 前两次我们分别讲了sysmon的ring3与ring0的实现原理,但是当初使用的版本的是8.X的版本 ,最新的版本10.X的sysmon功能有所增加,经过分析代码上也有变化。 OpenProcessPid; WCHAR DllInfo[261]; WCHAR DllExportInfo[261]; }; DllInfo是指线程所在的模块名,DllExportInfo是该模块的导出表信息 6. 上报错误信息事件 内核的事件Type值是:6 结构体定义: struct _ _Report_Event_Error { Report_Common_Header Header; CHAR data[16 可以看到结构体上的值都是对的,然后6个DataChunkLenggth都有值,我们在去看下面的Data内存 ?
1.5K20发布于 2020-10-27 - 来自专栏编程语言的世界
tp6请求日志,tp6记录详细日志
在tp5版本的时候日志中保存了全部的请求信息,保存了请求地址 请求方法 请求路由 请求头 请求参数,但是在tp6中官方取消了。 官方解释说由于日志记录了所有的运行错误,因此养成经常查看日志文件的习惯,可以避免和及早发现很多的错误隐患。 但是我觉得不方便我定位线上问题,于是把tp5源码中的部分移植到tp6中,tp5中大部分放在tp底层,为了不破坏tp框架我把代码放到中间件中进行继承,所有中间件全部继承此代码。自动记录请求信息。<? 生成的日志和tp5完全一样[2021-07-07T21:09:50+08:00][info] 127.0.0.1 POST learn.cn/api/v3/up_professions[ ROUTE ]
1.4K20编辑于 2023-06-03 - 来自专栏悠扬前奏的博客
MyBatis-6.日志
日志 Mybatis 的内置日志工厂提供日志功能,内置日志工厂将日志交给以下其中一种工具作代理: SLF4J Apache Commons Logging Log4j 2 Log4j JDK logging MyBatis 内置日志工厂基于运行时自省机制选择合适的日志工具。 日志配置 可以对包、映射类的全限定名、命名空间或全限定语句名开启日志功能来查看 MyBatis 的日志语句。 可以对包、映射类的全限定名、命名空间或全限定语句名开启日志功能来查看 MyBatis 的日志语句。具体方法,由使用的日志工具决定。 以下以 Log4J 为例。 为此,Mybatis 中 SQL 语句的日志级别被设为DEBUG(JDK 日志设为 FINE),结果的日志级别为 TRACE(JDK 日志设为 FINER)。
54630发布于 2019-05-30 - 来自专栏全栈程序员必看
Windows系统日志分析_python日志采集分析
四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1. 五、WEB日志文件分析 以下列日志记录为例,进行分析: #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 sxjyzx/2.gif - 80 - 192.168.99.236 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0 分析 表示程序有错; sc-substatus 服务端传送到客户端的字节大小; cs–win32-statu客户端传送到服务端的字节大小; 1**:请求收到,继续处理 2**:操作成功收到,分析 有时是为了防止发生系统过载 503——服务器过载或暂停维修 504——关口过载,服务器使用另一个关口或服务来响应用户,等待时间设定值较长 505——服务器不支持或拒绝支请求头中指定的HTTP版本 FTP日志分析
2.4K10编辑于 2022-10-04 - 来自专栏FreeBuf
构建一套属于你自己的小型仿真威胁狩猎平台
,并部署Sysmon作为Windows日志的补充。 部署Splunk日志转发工具,转发Windows event_log和Sysmon_log至Soc平台; 2、部署Ubuntu18.04,并安装Splunk Free,作为Soc平台,收集域内主机日志, 测试命令执行后,数据采集器将会采集windows安全日志/Sysmon日志,并发送至SOC平台。 基于这套小型仿真威胁狩猎平台,你还可以做更多的事情,值得你去发掘,比如利用Sysmon、Audit日志等,去做更有意义的事情。 0x05 参考文章 Sysmon使用社区指南 https://mp.weixin.qq.com/s/yloFDpJ6wvFZymzqCRtbBQ windows基本审核策略 https://docs.microsoft.com
1.4K21发布于 2021-11-16 - 来自专栏iSharkFly
Confluence 6 配置日志 原
我们推荐你根据你的需求来配置你自己的 Confluence 日志。 打开或者关闭 SQL 语句日志。 为一个类或者包添加一个新的日志。 为一个类或者包删除一个新的日志。 为一个类或者包设置日志的级别(INFO, WARN, FATAL, ERROR 或者 DEBUG)。 重置所有的日志级别到 predefined 属性。 'Diagnostic' 属性定义了更多的属性配置,能够为你提供更多的日志信息。这个配置将会降低你系统的性能并且让你日志文件更快的填充满。 https://www.cwiki.us/display/CONF6ZH/Configuring+Logging
77720发布于 2019-01-30 - 来自专栏用户7873631的专栏
tp6打日志
作者:陈业贵 华为云享专家 51cto(专家博主 明日之星 TOP红人) 文章目录 前言 一、日志 二、修改配置文件 1.引入库 2.在哪里看日志信息呢? ---- 前言 和大家共同完成打日志的流程: 一、日志 记录程序有没有错误。 二、修改配置文件 <? ' => env('log.channel', 'file'), // 日志记录级别 'level' => [], // 日志类型记录的通道 ['error => 'File', // 日志保存目录 'path' => '', // 单文件日志写入 'single' => false, // 独立日志级别 trace('日志信息','info');//错误信息是什么? } } 2.在哪里看日志信息呢?
32510编辑于 2022-06-05 - 来自专栏姚红专栏
日志收集-Elk6
Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。 Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。 2、使用场景:日志搜索,数据聚合,数据监控,报表统计分析 3、国内外使用者:维基百科,Stack Overflow,GitHub 2.2:ES6.1新特性讲解 1、6.1.x版本基于Lucene elasticsearch-6.2.2/config/jvm.options 解决:权限不够 chmod 777 -R 当前es目录 常见配置问题资料:https://www.jianshu.com/p/c5d6ec0f35e0
1.1K20发布于 2019-08-21 - 来自专栏技术杂记
日志服务器(6)
ommysql:localhost,Syslog,logger,123456 [root@h105 rsyslog-mysql-5.8.10]# 主要就是打开了 udp 514 端口以接受其它服务器传来的日志
1.1K40发布于 2021-10-20 - 来自专栏iSharkFly
Confluence 6 审查日志 原
日志审查能够允许管理查看你 Confluence 站点所做的修改。 你需要具有 Confluence 系统管理员的权限才能查看日志。 希望查看查看审查日志 ? > 基本配置(General Configuration) > 审查日志(Audit log)。 然后你可以通过关键字和时间来显示的日志进行过滤。下面是这个操作是如何进行的。 ? 过滤器(Filter it):通过关键字或者时间进行过滤。 更多设置(More control): 导出整个日志或者修改系统中保留日志的时间。 获得明细(Get detailed):查看本条记录的详细信息。 https://www.cwiki.us/display/CONF6ZH/Audit+log
60640发布于 2019-01-30 - 来自专栏iSharkFly
设置 Confluence 6 日志 原
Confluence 使用的是 Apache's log4j 日志服务。能够允许管理员通过编辑配置文件来控制日志的表现和日志输出文件。 在系统中有 6 个日志输出级别,请参考 log4j logging levels 页面来获得更多信息。 如果你请求 Atlassian Support 为你提供支持服务,我们总是会要求你能够提供你 Confluence 应用的日志输出。要获得这些日志输出的最简单的方法是进入 ? https://www.cwiki.us/display/CONF6ZH/Working+with+Confluence+Logs
74120发布于 2019-01-30 - 来自专栏OneMoreThink的专栏
应急靶场(11):【玄机】日志分析-apache日志分析
1、提交当天访问次数最多的IP,即黑客IP 已知中间件是Linux上的Apache,常见日志路径一般是: /var/log/apache/ /var/log/apache2/ /var/log/httpd / 这里定位到日志路径是/var/log/apache2。 通过命令ls -lah根据文件大小,判断日志文件是access.log.1,因为access.log的大小是0。 flag{192.168.200.2} 2、黑客使用的浏览器指纹是什么,提交指纹的md5 使用命令cat access.log.1 | grep 192.168.200.2 | cut -d '"' -f 6
1K10编辑于 2024-10-15 - 来自专栏程序员奇点
GC 日志分析
GC 日志分析 首先,如果需要查看 GC 日志,需要在 jvm 参数中加入如下参数 -XX:+PrintGCTimeStamps -XX:+PrintGCDetails -Xloggc:d:/GClogs /tomcat6-gc.log GC 日志 2016-11-23T11:01:27.738+0800: 0.150: [GC [PSYoungGen: 331K->288K(5952K)] 331K- PSPermGen: 3060K->3060K(21248K)], 0.0052429 secs] [Times: user=0.01 sys=0.00, real=0.01 secs] Young GC 日志 image Full GC 日志分析 ? image JVM 参数设置 jvm 参数对应堆内存设置 ? image 比例设置 ? TLAB大小为512k -XX:+UseCompressedOops:使用压缩指针,默认开启 -XX:MaxTenuringThreshold=15:对象进入老年代的年龄(Parallel是15,CMS是6)
1.7K10发布于 2020-05-08 - 来自专栏全栈程序员必看
Window日志分析
C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的 net user USER PASSWORD /add net localgroup administrators USER /add 0x02 日志分析工具 A、Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory logparser用法详解 https://www.jb51.net/hack/384430.html https://wenku.baidu.com/view/e86ad976e009581b6bd9ebcf.html Powershell日志分析 https://www.t00ls.net/articles-50631.html 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/
1.3K30编辑于 2022-09-07 - 来自专栏互联网老辛
nginx日志分析
在nginx.conf中定义的日志格式如下: http { ... ] 323 "http://www.abc.com/ProductPerspective/detail/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) -] 31 "http://www.abc.com/ProductPerspective/detail/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) access-api-$(date -d "yesterday" +"%Y%m%d").log cron: 0 0 * * * /mydata/nginx/nginx.log.sh 从nginx服务器将日志数据传输到日志服务器 request_url = s.group(4) status = s.group(5) request_body = s.group(6)
1.3K30发布于 2018-07-30 - 来自专栏OneMoreThink的专栏
应急实战(9):一次简简单单的应急
Prepare 1.1 开启日志记录 开启sysmon日志记录 开启apache日志记录 开启mysql日志记录 1.2 优化日志策略 优化security日志覆盖策略 2. 4.3 通过Webshell创建的后门 排查sysmon日志,发现第一轮攻击执行的6个webshell命令,只有4个执行成功: 1、利用echo命令直接写入webshell文件5d.php; 2、同上 4、同上 继续排查sysmon日志,第二轮攻击执行的webshell命令与第一轮相同,直接贴图: 1、 2、 3、 4、 目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对下载的恶意程序gauexjqv.exe 日志无法获取更多信息,因此使用沙箱对恶意程序svchost.com进行分析。 分析结果:https://s.threatbook.com/report/file/8455d1832df2da3b327d6fb0e030643f5d5415fb3076c11ac05846c99421b88b
26210编辑于 2024-10-15 - 来自专栏全栈程序员必看
AWStats日志分析
AWStats日志分析系统介绍 1.AWStats日志分析系统 (1)Peri语言开发的一款开源日志分析系统 (2)可用来分析Apache、Samba、 Vsftpd、 IIS等服务 器的访问日志 (3 )信息结合crond等计划任务服务,可对日志内容定期进行分析 部署AWStats日志分析系统 1.安装AWStats软件包 2.为要统计的站点建立配置文件 3.修改站点统计配置文件 4.执行日志分析,并设置 crontab计划任务 访问AWStats分析系统 1.查看统计页面 2.设置网页自动跳转,方便访问 具体操作: 1.安装DNS和HTTP服务软件包 [root@localhost ~]# yum install # systemctl start httpd 4.Windows 10配置 (1)在win10主机上更改下DNS地址 (2)在浏览器上访问域名,保证能够进行对Apache访问 5.此时可以查看下日志文件 :22:23:42 +0800] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) (internal dummy connection)" 6.
93610编辑于 2022-09-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号