【HW系列】—Windows日志与Linux日志分析

article/2025/8/20 17:29:50

文章目录

  • 一、Windows日志
    • 1. Windows事件日志
    • 2. 核心日志类型
    • 3. 事件日志分析实战
      • 详细分析步骤
  • 二、Linux日志
    • 1. 常见日志文件
    • 2. 关键日志解析
    • 3. 登录爆破检测方法
    • 日志分析核心要点

一、Windows日志

1. Windows事件日志

  • 介绍:记录系统、应用程序及安全事件,用于故障排查、安全审计与行为追踪。
  • 打开方式:
    • 运行 eventvwr 或 eventvwr.msc
    • 控制面板 → 管理工具 → 事件查看器
    • PowerShell:Get-WinEvent

2. 核心日志类型

在这里插入图片描述

💡 权限要求:安全日志需管理员权限查看。

3. 事件日志分析实战

(1) RDP协议远程登录分析

  • 关键事件ID:
    • 4624:登录成功(类型10表示RDP)
    • 4778:会话重连
    • 4647:用户手动注销
  • 分析步骤:
    1. 筛选事件ID 4624,检查Logon Type=10
    2. 提取Source Network Address字段获取客户端IP
    3. 结合Account Name确认登录账户
      (2) 登录爆破检测
  • 特征事件:
    • 4625:登录失败(频繁出现)
    • 同一IP短时间内多次尝试不同用户名

详细分析步骤

步骤1:筛选RDP登录成功事件

# PowerShell查询过去24小时成功的RDP登录
Get-WinEvent -FilterHashtable @{LogName='Security'ID=4624StartTime=(Get-Date).AddHours(-24)
} | Where-Object { $_.Properties[8].Value -eq 10 } | Format-List *

关键字段解析:

  • Properties[5]:登录账户名(TargetUserName)
  • Properties[18]:源IP地址(IpAddress)
  • Properties[8]:登录类型(LogonType=10表示RDP)
  • TimeCreated:登录时间
    步骤2:追踪完整RDP会话
# 查询特定IP的完整RDP活动(登录+注销)
$IP = "192.168.1.100"
Get-WinEvent -FilterHashtable @{LogName='Security'ID=@(4624,4634,4647)StartTime=(Get-Date).AddDays(-7)
} | Where-Object { ($_.Id -eq 4624 -and $_.Properties[8].Value -eq 10 -and $_.Properties[18].Value -eq $IP) -or($_.Id -in @(4634,4647) -and $_.Properties[1].Value -like "*$IP*")
} | Sort-Object TimeCreated | Format-Table TimeCreated,Id,Message -AutoSize

步骤3:计算会话持续时间

# 计算各RDP会话的持续时间(需配合日志导出分析)
$sessions = @{}
Get-WinEvent -LogName Security | Where-Object { $_.Id -in @(4624,4634,4647) -and $_.Properties[8].Value -eq 10 
} | ForEach-Object {if ($_.Id -eq 4624) {$sessions[$_.Properties[3].Value] = @{Start = $_.TimeCreatedUser = $_.Properties[5].ValueIP = $_.Properties[18].Value}}elseif ($_.Id -in @(4634,4647)) {if ($sessions.ContainsKey($_.Properties[3].Value)) {$duration = $_.TimeCreated - $sessions[$_.Properties[3].Value].Start[PSCustomObject]@{User = $sessions[$_.Properties[3].Value].UserIP = $sessions[$_.Properties[3].Value].IPStartTime = $sessions[$_.Properties[3].Value].StartEndTime = $_.TimeCreatedDuration = "$($duration.Hours)h $($duration.Minutes)m"}$sessions.Remove($_.Properties[3].Value)}}
}
  • 操作流程:
1. 统计失败登录TOP 10 IP
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Group-Object -Property @{e={$_.Properties[18].Value}} | Sort-Object Count -Descending | Select -First 102. 查看某IP的爆破详情(如192.168.1.20)
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Where-Object {$_.Properties[18].Value -eq '192.168.1.20'} |Format-List TimeCreated, Message
> ⚠️ 注意:高频4625事件(如每分钟>5次)可能为暴力破解。

二、Linux日志

1. 常见日志文件

在这里插入图片描述

2. 关键日志解析

  • lastlog:二进制文件,需用lastlog -u 用户名查看指定用户最后登录时间。
  • wtmp:记录登录/注销行为,last -f /var/log/wtmp显示完整历史。
  • secure/auth.log:核心安全日志,记录SSH登录成功/失败、sudo授权等。

3. 登录爆破检测方法

1. 统计爆破root的IP及次数(CentOS)
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr2. 提取爆破使用的用户名(Ubuntu)
grep "Failed password" /var/log/auth.log | perl -ne '/for (.+?) from/ && print "$1\n"' | sort | uniq -c3. 定位爆破时间范围
grep "Failed password" /var/log/secure | head -1  # 首次尝试
grep "Failed password" /var/log/secure | tail -1  # 末次尝试

🔍 技巧:结合fail2ban工具自动封锁高频攻击IP。


日志分析核心要点

在这里插入图片描述

更深入的日志保护策略(如日志加密、远程存储)可参考。


http://www.hkcw.cn/article/dKwjZYWmPc.shtml

相关文章

使用交叉编译工具提示stubs-32.h:7:11: fatal error: gnu/stubs-soft.h: 没有那个文件或目录的解决办法

0 前言 使用ST官方SDK提供的交叉编译工具、cmake生成Makefile,使用make命令生成可执行文件提示fatal error: gnu/stubs-soft.h: 没有那个文件或目录的解决办法,如下所示: 根据这一错误提示,按照网上的解决方案逐一尝试均以失败告…

苏超第三轮徐州2-1战胜连云港 端午假期迎首胜

北京时间5月31日,2025年江苏省城市足球联赛第3轮,徐州队主场以2-1战胜连云港队,迎来首胜。这场比赛正值端午假期,吸引了22198位球迷涌入徐州奥体中心观赛,上座人数甚至超过了部分中超比赛。目前,徐州队在先赛一场的情况下取得1胜2平积5分的成绩,暂时排名积分榜第三。而连…

富翁错失NASA局长提名 白宫:必须完全认同特朗普

亿万富翁错失NASA局长提名 白宫:必须完全认同特朗普当地时间5月31日,白宫表示,特朗普将很快宣布新的NASA局长提名人选。△贾里德艾萨克曼(资料图)白宫尚未解释原提名人贾里德艾萨克曼(Jared Isaacman)为何退出。据知情人士称,白宫已决定撤回艾萨克曼的提名。白宫发言人…

[USACO1.5] 八皇后 Checker Challenge Java

import java.util.*;public class Main {// 标记 对角线1,对角线2,所在x轴 是否存在棋子static boolean[] d1 new boolean[100], d2 new boolean[100], d new boolean[100]; static int n, ans 0;static int[] arr new int[14]; // 记录一轮棋子位置…

数据库核心技术深度剖析:事务、索引、锁与SQL优化实战指南(第四节)----从行级锁到死锁处理的系统梳理

Introduction:收纳技术相关的数据库知识 事务、索引、锁、SQL优化 等总结! 文章目录 数据库锁行级锁(Row-Level)属性锁共享锁(Shared Locks)排它锁(Exclusive Locks) 锁实现方式Record Lock(记录锁)Gap Lock(间隙锁)Next-Key Lock(临键锁) 加锁机制乐观锁…

79. 单词搜索-极致优化,可行性剪枝和顺序剪枝

给你一个目标字符串,和一个二维字符数组,判断在数组中是否能找到目标字符串。 例如,board [["A","B","C","E"],["S","F","C","S"],["A","…

VLAN的作用和原理

1. 为什么要有vlan? 分割广播域,避免广播风暴,造成网络资源的浪费 可以灵活的组网,便于管理,同时还有安全加固的功能 2. vlan是怎么实现的?端口的原理? 设置VLAN后,流量之间的转…

使用MCP和Ollama本地创建AI代理:实操教程

如果你在过去几个月没有与世隔绝的话,那么你很可能看到过多篇提到新的模型上下文协议(MCP)的文章。 MCP是Anthropic发布的一个新标准,旨在弥合大型语言模型(LLMs)与外部世界之间的差距。MCP提供了一种标准化的方式,让模型能够访问资源——比如数据和工具——来帮助它们…

美防长被中方代表质问后答非所问 回避东盟立场问题

在第22届香格里拉对话会上,国防大学代表团成员张弛向美国防长赫格塞思提问:“你提到盟友和伙伴很重要。但是,美国近年在本地区建立的多边联盟和框架,例如美日澳印四边机制和美英澳三边安全伙伴关系,都没有包括东盟国家。所以,如果美国的联盟和东盟之间产生分歧或争端,你…

吴恩达MCP课程(3):mcp_chatbot

原课程代码是用Anthropic写的,下面代码是用OpenAI改写的,模型则用阿里巴巴的模型做测试 .env 文件为: OPENAI_API_KEYsk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx OPENAI_API_BASEhttps://dashscope.aliyuncs.com/compatible-mode…

新视角!经济学顶刊QJE用文本分析探究新技术扩散

美国圣路易斯联邦储备银行Aakash Kalyani、美国斯坦福大学与国家经济研究局Nicholas Bloom、英国伦敦商学院Marcela Carvalho和其合作者们共同研究的“The Diffusion of New Technologies(新技术的扩散)”在顶刊The Quarterly Journal of Economics中发表…

动态规划-376.摆动序列-力扣(LeetCode)

一、题目解析 看着题目上的解释或许有点难以理解,这里一图流 只要形似上图的都可以是摆动序列,如左图,且仅含一个元素和两个元素的也算摆动序列,如右图 二、算法原理 1、状态表示 根据经验我们都是以i位置为结尾时&#xff0c…

【机器学习基础】机器学习入门核心算法:XGBoost 和 LightGBM

机器学习入门核心算法:XGBoost 和 LightGBM 一、算法逻辑XGBoost (eXtreme Gradient Boosting)LightGBM (Light Gradient Boosting Machine) 二、算法原理与数学推导目标函数(二者通用)二阶泰勒展开:XGBoost 分裂点增益计算&#…

《STL--stack 和 queue 的使用及其底层实现》

引言: 上次我们学习了容器list的使用及其底层实现,相对来说是比较复杂的,今天我们要学习的适配器stack和queue与list相比就简单很多了,下面我们就开始今天的学习: 一:stack(后进先出&#xff…

Redis缓存问题重点详解

前言:本节包含常见redis缓存问题,包含缓存一致性问题,缓存雪崩,缓存穿透,缓存击穿问题及其解决方案 1. 缓存一致性 我们先看下目前企业用的最多的缓存模型。缓存的通用模型有三种: 缓存模型解释Cache Asi…

Redis最佳实践——安全与稳定性保障之访问控制详解

Redis 在电商应用的安全与稳定性保障之访问控制全面详解 一、安全访问控制体系架构 1. 多层级防护体系 #mermaid-svg-jpkDj2nKxCq9AXIW {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-jpkDj2nKxCq9AXIW .error-ico…

矩阵快速幂算法快速上手

矩阵快速幂算法快速上手 一、基础知识回顾1.1 矩阵乘法1.2 单位矩阵 二、快速幂算法思想2.1 整数快速幂2.2 矩阵快速幂 三、矩阵快速幂的代码实现3.1 Python实现3.2 C实现3.3 Java实现 四、矩阵快速幂的应用场景4.1 斐波那契数列4.2 线性递推数列4.3 图论中的路径计数4.4 动态规…

外国人眼中的端午赛龙舟 文化共鸣与体验

当地人教恩佐包香囊,黄春隆体验划龙舟,罗珃身着汉服,沉浸式体验端午文化后拍照留念。吃粽子、赛龙舟、做香囊……外国友人对端午文化有多少了解?哪些端午习俗令他们印象深刻?恩佐来自法国中部卢瓦雷省的小城蒙塔日,他的家乡与中国渊源已久,是邓小平年轻时曾经勤工俭学的…

博主:登贝莱预定金球奖 欧冠决赛闪耀

巴黎圣日耳曼在欧冠决赛中以5-0大胜国米,首次夺得冠军。奥斯曼-登贝莱为队友送出了两次助攻。《队报》认为,他比以往任何时候都更有希望角逐2025年金球奖。作为俱乐部主席,纳赛尔-阿尔赫莱菲按惯例出现在颁奖台上,紧紧拥抱了奥斯曼-登贝莱,并在他耳边低语。这位卡塔尔人脸…

uniapp调试,设置默认展示的toolbar内容

uniapp调试,设置默认展示的toolbar内容 设置pages.json中 pages数组中 json的顺序就可以只需要调整顺序,不会影响该bar在页面中的显示默认展示第一条page