Windows日志系统及其利用

齐玉斌 王蕾 霍翠玲

摘要：介绍了Windows日志系统的组成、结构及查阅等，讨论了其在入侵事件分析中的应用，给出了分析日志系统并用于入侵事件分析的方法。

关键词：Windows;日志文件;入侵分析

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2020）22-0225-02

开放科学（资源服务）标识码（0SID）：

Windows操作系统及其应用服务系统在运行过程中，为了审计各类用户的各种操作，广泛使用日志系统对各类事件进行记录，形成大量的日志信息，主要包括：Windows操作系统事件日志（Event Log），Windows应用服务系统的ns日志、FIP日志、Exchange Server邮件服务日志、SQL Server数据库日志等。由于日志系统信息的原始性、可靠性，在处理系统应急事件过程中，可以提供出有效的溯源信息，所以日志信息在调查取证和事件溯源中发挥着重要作用。

本文以Windows操作系統的日志信息进行说明。

1 日志系统的组成

1.1日志文件

Windows操作系统的事件日志信息分为系统、安全、应用程序三种，对应的文件分别为SysEvent.evtx，SecEvent. evtx和AppEvent. evtx，这三个文件存在于系统文件夹下的Sys-tem32＼Config文件夹下（不同Windows版本下存放的位置有变化，可查阅系统手册获知具体版本下的保存位置）。由于受系统事件记录（Event Log）服务的保护，上述三个文件不能被删除，但其中的日志记录可以被管理员用户通过管理界面清空。

三个核心日志文件的默认大小均为20MB，当记录的日志信息增多而使文件大小超过20MB时，按默认规则将按“先形成、先覆盖”的队列结构原则替换早期的日志记录。

1.2信息结构

文件中每条日志信息均以特定的、相同的数据结构，按类存储在特定文件中。每条日志的数据结构有9个字段组成，即：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。通过这9个字段，可以分析得出该条日志所反映出的、在计算机上发生的具体事件行为。

2 日志分类

Windows事件日志分为五种事件类型，所有的事件日志项必须是这五种事件类型中的一种，且只可以是其中一种[1]。这五种事件类型如下。

（1）信息（Information）

信息事件用来记录由应用程序、驱动程序或系统服务程序的成功运行及顺利操作而正常形成或发生的事件。

（2）警告（Warning）

警告事件是指发生了按既有规则、在将来可能发生问题的事件，此时系统并没有真正发生问题。例如，当外部存贮器（如C盘）可用空间不足或未找到系统中安装的打印机时，就会产生一个“警告”日志。

（3）错误（Error）

错误事件是指系统内发生了当前用户应该知道的重要问题，往往是系统某方面的功能或重要有效数据的丢失。例如，如果一个设置为自启动的服务不能被系统进行有效加载运行，就会产生一个错误事件在日志文件中进行记录。

（4）成功审核（Success audit）

成功审核主要出现在安全性日志中，反映权限确认、安全访问等操作成功，主要包括了用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账号登录等事件。例如，用户（账号）所有的成功登录系统，都会在安全性日志中被记录为“成功审核”事件。

（5）失败审核（Failure audit）

与“成功审核”相反，如果因关键字、权限等原因，未能成功进行系统操作，则在安全性日志中被记录为失败审核事件。例如，用户因账号或密码错误未能登录系统，则这种登录尝试会被作为失败审核事件进行记录。

3 日志系统的审看与操作

使用Windows操作系统提供的事件查看器工具，即可查看、分析所有的Windows系统日志。运行事件查看器的方法：开始一运行一输入eventvwr -回车，即可快速打开事件查看器窗口，窗口如图1所示。

图中左侧窗格可见Windows日志下的：应用程序、安全和系统日志等。选中“应用程序”，中间窗格上部列出所有的应用程序日志事件，选中其中一个日志，则在中间窗格下部列出该日志事件的细节，如日志的名称、来源、ID、级别等。

默认设置下，日志文件大小为20M，可以保留上万条的日志事件信息。为方便对日志事件的操作，在图1的右侧窗格提供了对日志事件的各种操作。

“清除日志”：对无保留价值的日志事件进行删除;

“筛选当前日志”：按指定的条件，对中间上部窗格中的事件进行过滤筛选，以减少日志列表长度，方便查找、使用。

“查找”：按指定的关键字在日志列表中进行查找。

“将所有事件另存为”：把日志列表中的日志事件保存为文件，文件格式可以为：evtx，xml，txt，csv等。

“打开保存的日志”：打开上述保存的日志事件文件，在中间上部窗格显示。

4 日志事件标识及登录类型

以在进行系统入侵分析时，应用较为普遍的安全日志事件为例。每个事件均分配有一个事件ID，该代码是事件种类的标识，用来说明事件的含义[2]。常用的事件ID如表1所示。 从表1可以看出事件4624、4625是进行入侵分析时最关注的两类事件。这是因为4624说明账号成功登录了系统，而4625说明账号没有成功登录系统。如果在分析过程中，发现在短时间内有大量的4625事件，则说明可能有人在尝试使用程序进行暴力或字典登录系统。

操作系统登录可能发生在本机，也可能通过网络发生;即使在本机，可能是操作系统启动时的登录，也有可能是运行中的服务程序向系统登录[3]。在判断登录方式时，可参考其登录类型码，见表2。

5 日志事件的分析

通过Windows操作系统的“事件查看器”工具，可以对日志事件进行初步的查看、分析，但由于日志事件的数量太过庞大，所以在进行精细分析時，往往要借助一些日志分析工具软件，或自行开发有针对性的分析程序。

5.1 日志分析软件

有许多可以用于Windows日志事件分析的工具软件，如SolarWinds Log& Event Manager、Splunk、EventTracker等。这些软件能够实时监控日志和数据，按特定的策略产生日志事件清单，方便用户进行事件分析与追踪。

5.2 按需要设计分析程序

上述现有的日志分析软件，有时难以满足个性化的事件分析需要，而Microsoft的.net开发环境提供了对日志事件的记录、读取、删除等操作的支持[4]。以C#.net为例，在System.Diagnos-tics命名空间中提供了EventLog等专门用于对日志事件进行操作的类，用户可以使用这个类完成个性化的日志查找、分析、追踪等操作。

Windows操作系统的日志信息忠实记录了系统、安全、应用程序等的响应事件，对分析操作系统的运行效率、执行流程有很大的帮助作用;同时，在计算机安全领域，对分析非法入侵的途径、方法，及时封堵系统漏洞，提升系统安全性等，也可以提供了强有力地支撑。

参考文献：

[1]黄杰锋，龙华秋，容振邦.监督学习主导下恶意代码行为分析与特征码提取的研究[J].网络安全技术与应用，2018（10）：45-46.

[2]陈騾.计算机恶意代码的检测与查杀[J].工程技术研究，2018（11）：192-193.

[3]童瀛，牛博威，周宇，等.基于沙箱技术的恶意代码行为检测方法[J].西安邮电大学学报，2018，23（5）：101-110.

[4]孙泽浩.基于深度学习的恶意代码检测技术[J].网络安全技术与应用，2018（2）：61-62，67.

【通联编辑：代影】