Windows日志系統及其利用

齊玉斌 王蕾 霍翠玲

摘要：介紹了Windows日志系統的組成、結構及查閱等，討論了其在入侵事件分析中的應用，給出了分析日志系統并用于入侵事件分析的方法。

關鍵詞：Windows;日志文件;入侵分析

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）22-0225-02

開放科學（資源服務）標識碼（0SID）：

Windows操作系統及其應用服務系統在運行過程中，為了審計各類用戶的各種操作，廣泛使用日志系統對各類事件進行記錄，形成大量的日志信息，主要包括：Windows操作系統事件日志（Event Log），Windows應用服務系統的ns日志、FIP日志、Exchange Server郵件服務日志、SQL Server數據庫日志等。由于日志系統信息的原始性、可靠性，在處理系統應急事件過程中，可以提供出有效的溯源信息，所以日志信息在調查取證和事件溯源中發揮著重要作用。

本文以Windows操作系統的日志信息進行說明。

1 日志系統的組成

1.1日志文件

Windows操作系統的事件日志信息分為系統、安全、應用程序三種，對應的文件分別為SysEvent.evtx，SecEvent. evtx和AppEvent. evtx，這三個文件存在于系統文件夾下的Sys-tem32＼Config文件夾下（不同Windows版本下存放的位置有變化，可查閱系統手冊獲知具體版本下的保存位置）。由于受系統事件記錄（Event Log）服務的保護，上述三個文件不能被刪除，但其中的日志記錄可以被管理員用戶通過管理界面清空。

三個核心日志文件的默認大小均為20MB，當記錄的日志信息增多而使文件大小超過20MB時，按默認規則將按“先形成、先覆蓋”的隊列結構原則替換早期的日志記錄。

1.2信息結構

文件中每條日志信息均以特定的、相同的數據結構，按類存儲在特定文件中。每條日志的數據結構有9個字段組成，即：日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數據等信息。通過這9個字段，可以分析得出該條日志所反映出的、在計算機上發生的具體事件行為。

2 日志分類

Windows事件日志分為五種事件類型，所有的事件日志項必須是這五種事件類型中的一種，且只可以是其中一種[1]。這五種事件類型如下。

（1）信息（Information）

信息事件用來記錄由應用程序、驅動程序或系統服務程序的成功運行及順利操作而正常形成或發生的事件。

（2）警告（Warning）

警告事件是指發生了按既有規則、在將來可能發生問題的事件，此時系統并沒有真正發生問題。例如，當外部存貯器（如C盤）可用空間不足或未找到系統中安裝的打印機時，就會產生一個“警告”日志。

（3）錯誤（Error）

錯誤事件是指系統內發生了當前用戶應該知道的重要問題，往往是系統某方面的功能或重要有效數據的丟失。例如，如果一個設置為自啟動的服務不能被系統進行有效加載運行，就會產生一個錯誤事件在日志文件中進行記錄。

（4）成功審核（Success audit）

成功審核主要出現在安全性日志中，反映權限確認、安全訪問等操作成功，主要包括了用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬號登錄等事件。例如，用戶（賬號）所有的成功登錄系統，都會在安全性日志中被記錄為“成功審核”事件。

（5）失敗審核（Failure audit）

與“成功審核”相反，如果因關鍵字、權限等原因，未能成功進行系統操作，則在安全性日志中被記錄為失敗審核事件。例如，用戶因賬號或密碼錯誤未能登錄系統，則這種登錄嘗試會被作為失敗審核事件進行記錄。

3 日志系統的審看與操作

使用Windows操作系統提供的事件查看器工具，即可查看、分析所有的Windows系統日志。運行事件查看器的方法：開始一運行一輸入eventvwr -回車，即可快速打開事件查看器窗口，窗口如圖1所示。

圖中左側窗格可見Windows日志下的：應用程序、安全和系統日志等。選中“應用程序”，中間窗格上部列出所有的應用程序日志事件，選中其中一個日志，則在中間窗格下部列出該日志事件的細節，如日志的名稱、來源、ID、級別等。

默認設置下，日志文件大小為20M，可以保留上萬條的日志事件信息。為方便對日志事件的操作，在圖1的右側窗格提供了對日志事件的各種操作。

“清除日志”：對無保留價值的日志事件進行刪除;

“篩選當前日志”：按指定的條件，對中間上部窗格中的事件進行過濾篩選，以減少日志列表長度，方便查找、使用。

“查找”：按指定的關鍵字在日志列表中進行查找。

“將所有事件另存為”：把日志列表中的日志事件保存為文件，文件格式可以為：evtx，xml，txt，csv等。

“打開保存的日志”：打開上述保存的日志事件文件，在中間上部窗格顯示。

4 日志事件標識及登錄類型

以在進行系統入侵分析時，應用較為普遍的安全日志事件為例。每個事件均分配有一個事件ID，該代碼是事件種類的標識，用來說明事件的含義[2]。常用的事件ID如表1所示。 從表1可以看出事件4624、4625是進行入侵分析時最關注的兩類事件。這是因為4624說明賬號成功登錄了系統，而4625說明賬號沒有成功登錄系統。如果在分析過程中，發現在短時間內有大量的4625事件，則說明可能有人在嘗試使用程序進行暴力或字典登錄系統。

操作系統登錄可能發生在本機，也可能通過網絡發生;即使在本機，可能是操作系統啟動時的登錄，也有可能是運行中的服務程序向系統登錄[3]。在判斷登錄方式時，可參考其登錄類型碼，見表2。

5 日志事件的分析

通過Windows操作系統的“事件查看器”工具，可以對日志事件進行初步的查看、分析，但由于日志事件的數量太過龐大，所以在進行精細分析時，往往要借助一些日志分析工具軟件，或自行開發有針對性的分析程序。

5.1 日志分析軟件

有許多可以用于Windows日志事件分析的工具軟件，如SolarWinds Log& Event Manager、Splunk、EventTracker等。這些軟件能夠實時監控日志和數據，按特定的策略產生日志事件清單，方便用戶進行事件分析與追蹤。

5.2 按需要設計分析程序

上述現有的日志分析軟件，有時難以滿足個性化的事件分析需要，而Microsoft的.net開發環境提供了對日志事件的記錄、讀取、刪除等操作的支持[4]。以C#.net為例，在System.Diagnos-tics命名空間中提供了EventLog等專門用于對日志事件進行操作的類，用戶可以使用這個類完成個性化的日志查找、分析、追蹤等操作。

Windows操作系統的日志信息忠實記錄了系統、安全、應用程序等的響應事件，對分析操作系統的運行效率、執行流程有很大的幫助作用;同時，在計算機安全領域，對分析非法入侵的途徑、方法，及時封堵系統漏洞，提升系統安全性等，也可以提供了強有力地支撐。

參考文獻：

[1]黃杰鋒，龍華秋，容振邦.監督學習主導下惡意代碼行為分析與特征碼提取的研究[J].網絡安全技術與應用，2018（10）：45-46.

[2]陳騾.計算機惡意代碼的檢測與查殺[J].工程技術研究，2018（11）：192-193.

[3]童瀛，牛博威，周宇，等.基于沙箱技術的惡意代碼行為檢測方法[J].西安郵電大學學報，2018，23（5）：101-110.

[4]孫澤浩.基于深度學習的惡意代碼檢測技術[J].網絡安全技術與應用，2018（2）：61-62，67.

【通聯編輯：代影】