齊玉斌 王蕾 霍翠玲

摘要：介紹了Windows日志系統(tǒng)的組成、結(jié)構(gòu)及查閱等，討論了其在入侵事件分析中的應(yīng)用，給出了分析日志系統(tǒng)并用于入侵事件分析的方法。

關(guān)鍵詞：Windows;日志文件;入侵分析

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）22-0225-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（0SID）：

Windows操作系統(tǒng)及其應(yīng)用服務(wù)系統(tǒng)在運(yùn)行過程中，為了審計(jì)各類用戶的各種操作，廣泛使用日志系統(tǒng)對(duì)各類事件進(jìn)行記錄，形成大量的日志信息，主要包括：Windows操作系統(tǒng)事件日志（Event Log），Windows應(yīng)用服務(wù)系統(tǒng)的ns日志、FIP日志、Exchange Server郵件服務(wù)日志、SQL Server數(shù)據(jù)庫(kù)日志等。由于日志系統(tǒng)信息的原始性、可靠性，在處理系統(tǒng)應(yīng)急事件過程中，可以提供出有效的溯源信息，所以日志信息在調(diào)查取證和事件溯源中發(fā)揮著重要作用。

本文以Windows操作系統(tǒng)的日志信息進(jìn)行說明。

1 日志系統(tǒng)的組成

1.1日志文件

Windows操作系統(tǒng)的事件日志信息分為系統(tǒng)、安全、應(yīng)用程序三種，對(duì)應(yīng)的文件分別為SysEvent.evtx，SecEvent. evtx和AppEvent. evtx，這三個(gè)文件存在于系統(tǒng)文件夾下的Sys-tem32＼Config文件夾下（不同Windows版本下存放的位置有變化，可查閱系統(tǒng)手冊(cè)獲知具體版本下的保存位置）。由于受系統(tǒng)事件記錄（Event Log）服務(wù)的保護(hù)，上述三個(gè)文件不能被刪除，但其中的日志記錄可以被管理員用戶通過管理界面清空。

三個(gè)核心日志文件的默認(rèn)大小均為20MB，當(dāng)記錄的日志信息增多而使文件大小超過20MB時(shí)，按默認(rèn)規(guī)則將按“先形成、先覆蓋”的隊(duì)列結(jié)構(gòu)原則替換早期的日志記錄。

1.2信息結(jié)構(gòu)

文件中每條日志信息均以特定的、相同的數(shù)據(jù)結(jié)構(gòu)，按類存儲(chǔ)在特定文件中。每條日志的數(shù)據(jù)結(jié)構(gòu)有9個(gè)字段組成，即：日期/時(shí)間、事件類型、用戶、計(jì)算機(jī)、事件ID、來源、類別、描述、數(shù)據(jù)等信息。通過這9個(gè)字段，可以分析得出該條日志所反映出的、在計(jì)算機(jī)上發(fā)生的具體事件行為。

2 日志分類

Windows事件日志分為五種事件類型，所有的事件日志項(xiàng)必須是這五種事件類型中的一種，且只可以是其中一種[1]。這五種事件類型如下。

（1）信息（Information）

信息事件用來記錄由應(yīng)用程序、驅(qū)動(dòng)程序或系統(tǒng)服務(wù)程序的成功運(yùn)行及順利操作而正常形成或發(fā)生的事件。

（2）警告（Warning）

警告事件是指發(fā)生了按既有規(guī)則、在將來可能發(fā)生問題的事件，此時(shí)系統(tǒng)并沒有真正發(fā)生問題。例如，當(dāng)外部存貯器（如C盤）可用空間不足或未找到系統(tǒng)中安裝的打印機(jī)時(shí)，就會(huì)產(chǎn)生一個(gè)“警告”日志。

（3）錯(cuò)誤（Error）

錯(cuò)誤事件是指系統(tǒng)內(nèi)發(fā)生了當(dāng)前用戶應(yīng)該知道的重要問題，往往是系統(tǒng)某方面的功能或重要有效數(shù)據(jù)的丟失。例如，如果一個(gè)設(shè)置為自啟動(dòng)的服務(wù)不能被系統(tǒng)進(jìn)行有效加載運(yùn)行，就會(huì)產(chǎn)生一個(gè)錯(cuò)誤事件在日志文件中進(jìn)行記錄。

（4）成功審核（Success audit）

成功審核主要出現(xiàn)在安全性日志中，反映權(quán)限確認(rèn)、安全訪問等操作成功，主要包括了用戶登錄/注銷、對(duì)象訪問、特權(quán)使用、賬戶管理、策略更改、詳細(xì)跟蹤、目錄服務(wù)訪問、賬號(hào)登錄等事件。例如，用戶（賬號(hào)）所有的成功登錄系統(tǒng)，都會(huì)在安全性日志中被記錄為“成功審核”事件。

（5）失敗審核（Failure audit）

與“成功審核”相反，如果因關(guān)鍵字、權(quán)限等原因，未能成功進(jìn)行系統(tǒng)操作，則在安全性日志中被記錄為失敗審核事件。例如，用戶因賬號(hào)或密碼錯(cuò)誤未能登錄系統(tǒng)，則這種登錄嘗試會(huì)被作為失敗審核事件進(jìn)行記錄。

3 日志系統(tǒng)的審看與操作

使用Windows操作系統(tǒng)提供的事件查看器工具，即可查看、分析所有的Windows系統(tǒng)日志。運(yùn)行事件查看器的方法：開始一運(yùn)行一輸入eventvwr -回車，即可快速打開事件查看器窗口，窗口如圖1所示。

圖中左側(cè)窗格可見Windows日志下的：應(yīng)用程序、安全和系統(tǒng)日志等。選中“應(yīng)用程序”，中間窗格上部列出所有的應(yīng)用程序日志事件，選中其中一個(gè)日志，則在中間窗格下部列出該日志事件的細(xì)節(jié)，如日志的名稱、來源、ID、級(jí)別等。

默認(rèn)設(shè)置下，日志文件大小為20M，可以保留上萬條的日志事件信息。為方便對(duì)日志事件的操作，在圖1的右側(cè)窗格提供了對(duì)日志事件的各種操作。

“清除日志”：對(duì)無保留價(jià)值的日志事件進(jìn)行刪除;

“篩選當(dāng)前日志”：按指定的條件，對(duì)中間上部窗格中的事件進(jìn)行過濾篩選，以減少日志列表長(zhǎng)度，方便查找、使用。

“查找”：按指定的關(guān)鍵字在日志列表中進(jìn)行查找。

“將所有事件另存為”：把日志列表中的日志事件保存為文件，文件格式可以為：evtx，xml，txt，csv等。

“打開保存的日志”：打開上述保存的日志事件文件，在中間上部窗格顯示。

4 日志事件標(biāo)識(shí)及登錄類型

以在進(jìn)行系統(tǒng)入侵分析時(shí)，應(yīng)用較為普遍的安全日志事件為例。每個(gè)事件均分配有一個(gè)事件ID，該代碼是事件種類的標(biāo)識(shí)，用來說明事件的含義[2]。常用的事件ID如表1所示。 從表1可以看出事件4624、4625是進(jìn)行入侵分析時(shí)最關(guān)注的兩類事件。這是因?yàn)?624說明賬號(hào)成功登錄了系統(tǒng)，而4625說明賬號(hào)沒有成功登錄系統(tǒng)。如果在分析過程中，發(fā)現(xiàn)在短時(shí)間內(nèi)有大量的4625事件，則說明可能有人在嘗試使用程序進(jìn)行暴力或字典登錄系統(tǒng)。

操作系統(tǒng)登錄可能發(fā)生在本機(jī)，也可能通過網(wǎng)絡(luò)發(fā)生;即使在本機(jī)，可能是操作系統(tǒng)啟動(dòng)時(shí)的登錄，也有可能是運(yùn)行中的服務(wù)程序向系統(tǒng)登錄[3]。在判斷登錄方式時(shí)，可參考其登錄類型碼，見表2。

5 日志事件的分析

通過Windows操作系統(tǒng)的“事件查看器”工具，可以對(duì)日志事件進(jìn)行初步的查看、分析，但由于日志事件的數(shù)量太過龐大，所以在進(jìn)行精細(xì)分析時(shí)，往往要借助一些日志分析工具軟件，或自行開發(fā)有針對(duì)性的分析程序。

5.1 日志分析軟件

有許多可以用于Windows日志事件分析的工具軟件，如SolarWinds Log& Event Manager、Splunk、EventTracker等。這些軟件能夠?qū)崟r(shí)監(jiān)控日志和數(shù)據(jù)，按特定的策略產(chǎn)生日志事件清單，方便用戶進(jìn)行事件分析與追蹤。

5.2 按需要設(shè)計(jì)分析程序

上述現(xiàn)有的日志分析軟件，有時(shí)難以滿足個(gè)性化的事件分析需要，而Microsoft的.net開發(fā)環(huán)境提供了對(duì)日志事件的記錄、讀取、刪除等操作的支持[4]。以C#.net為例，在System.Diagnos-tics命名空間中提供了EventLog等專門用于對(duì)日志事件進(jìn)行操作的類，用戶可以使用這個(gè)類完成個(gè)性化的日志查找、分析、追蹤等操作。

Windows操作系統(tǒng)的日志信息忠實(shí)記錄了系統(tǒng)、安全、應(yīng)用程序等的響應(yīng)事件，對(duì)分析操作系統(tǒng)的運(yùn)行效率、執(zhí)行流程有很大的幫助作用;同時(shí)，在計(jì)算機(jī)安全領(lǐng)域，對(duì)分析非法入侵的途徑、方法，及時(shí)封堵系統(tǒng)漏洞，提升系統(tǒng)安全性等，也可以提供了強(qiáng)有力地支撐。

參考文獻(xiàn)：

[1]黃杰鋒，龍華秋，容振邦.監(jiān)督學(xué)習(xí)主導(dǎo)下惡意代碼行為分析與特征碼提取的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（10）：45-46.

[2]陳騾.計(jì)算機(jī)惡意代碼的檢測(cè)與查殺[J].工程技術(shù)研究，2018（11）：192-193.

[3]童瀛，牛博威，周宇，等.基于沙箱技術(shù)的惡意代碼行為檢測(cè)方法[J].西安郵電大學(xué)學(xué)報(bào)，2018，23（5）：101-110.

[4]孫澤浩.基于深度學(xué)習(xí)的惡意代碼檢測(cè)技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（2）：61-62，67.

【通聯(lián)編輯：代影】