首頁 > 開發者 > Windows

seci-log 1.04 日誌分析增加 windows 日誌分析

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

標籤:日誌分析 安全 secisland seci-log

本次升級並沒有增加新的警示,而是增加了window的日誌分析,主要分析了windows的登入日誌和動作記錄,這兩個比較重要的日誌類型,其他日誌類型可以作為通用的日誌收集功能進行儲存查詢。

Windows系統沒有內建的功能支援系統日誌進行syslog發送,因此需要依賴第三方工具,這裡我們推薦一款非常好用的輕量級日誌採集模組:Nxlog,在Windows下部署和配置均十分便捷。

註:本人測試過2008 ,2003 server,理論上2012也是可以的,其他環境沒有測試,如果有問題歡迎到群裡諮詢。

1、安裝Nxlog

從Sourceforge下載最新的 Nxlog,並安裝。

2、建立設定檔

修改設定檔,預設設定檔位置:

C:\Program Files\nxlog\conf\nxlog修改為以下內容,注意要修改實際路徑和爭取的發送目的的地址。

如果想收集全部日誌去掉query行。

im_msvistalog針對Windows 2008系列,im_mseventlog針對Windows 2003系列。注意和實際環境一致。

define ROOT C:\Program Files\nxlog Moduledir %ROOT%\modulesCacheDir %ROOT%\dataPidfile %ROOT%\data\nxlog.pidSpoolDir %ROOT%\dataLogFile %ROOT%\data\nxlog.log <Extension syslog>Module xm_syslog</Extension> <Input in>    Module      im_msvistalogReadFromLast TRUE Query <QueryList><Query Id="1"><Select Path="Security">*[System[(EventID=4688 or EventID=4624 or EventID=4625) ]]</Select></Query></QueryList>Exec  $Message = ""; Exec to_syslog_ietf(); $raw_event = replace($raw_event, ‘[email protected]‘, ‘secisland windows eventlog ‘, 1);</Input> <Output out>    Module      om_udp    Host        192.168.21.1    Port        514 </Output> <Route 1>    Path        in => out</Route>3、重啟Nxlog服務

650) this.width=650;" src="http://static.oschina.net/uploads/space/2015/0531/092745_EZvF_247205.png" style="margin:0px;padding:0px;border:1px solid rgb(221,221,221);" alt="092745_EZvF_247205.png" />

4、查看日誌

如果配置正常,可以在後台安全健康--安全事件中看到如下日誌:

2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登入" Opcode="資訊" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta


5、相關警示

密碼猜測,非上班時間登入,非上班地點登入,密碼猜測成功,帳號猜測警示和這些內容相關。


本文出自 “zhulinu的部落格” 部落格,請務必保留此出處http://zhulinu.blog.51cto.com/539189/1685067

seci-log 1.04 日誌分析增加 windows 日誌分析

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More