0x00 前言 Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet:一个是Get-WinEvent,超级强大,但使用起来比较麻烦:另一个是Get-EventLog,使得起来相当简单,可以实时筛选,接下来,我们利用PowerShell 来自动筛选 Windows 事件日志. 0x01 Get-WinEvent A.XML编写 假设有这样一个需求:windows server2008 R2环境,需要统计一下近7天用户登录次数. 我们可以直接利用事件查看器里面筛选日志,…

linux下利用elk+redis 搭建日志分析平台教程 http://www.alliedjeep.com/18084.htm   elk 日志分析+redis数据库可以创建一个不错的日志分析平台了,下面我们来看一篇在linux下利用elk+redis 搭建日志分析平台教程,希望例子对各位有帮助. 这个是最新的elk+redis搭建日志分析平台,今年时间是2015年9月11日. Elk分别为 elasticsearch,logstash, kibana 官网为:https://www.elas…

0x01 Windows应急日志常用的几个事件ID 4624:这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况. 4625:这个事件ID表示登陆失败的用户. 4768:这个事件ID表示Kerberos身份验证票证请求(TGT请求) 4769:这个事件ID表示已发出Kerberos服务票证请求(ST请求) 4776:这个事件ID表示计算机尝试验证账户凭据(NTLM) 0x02 LogonTracer LogonTracer是一款用于可视化分析Windows安全事件日志寻找恶意登录的…

今天我们来聊一下利用docker部署elk日志分析系统,这里解析一下elk是啥东西.elk分别是Elasticsearch,Logstash和Kibana的首字母缩写. Elasticsearch是一个基于JSON的分布式搜索和分析引擎,专为水平可扩展性,最高可靠性和易管理性而设计. Logstash是一个动态数据收集管道,具有可扩展的插件生态系统和强大的Elasticsearch协同作用. Kibana通过UI 提供数据可视化. 架构简述 日志系统首先面临几个问题: 不同厂商设备的不同日志格式…

0X00 简介 0x01 基本设置 A.Windows审核策略设置 前提:开启审核策略,若日后系统出现故障.安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等. 打开设置窗口 Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图1所示: Windows Server 2003:开始 → 运行 → 输入 gpedit.msc 回车 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略. 各项策…

有的朋友会问,好好的Windows日志为什么要把它转成Syslog呢?呵呵,当Windows服务器比较少的时候,我们是不需要这样做的.但试想如果你管理着成千上百台的Windows机器,你会一台一台的登录上去用Event Viewer查看吗?为什么不建立一台中心Syslog服务器来接受所有的Windows,Linux,网络设备等等发送来的日志呢?这样你可以轻松地在一台日志服务器上管理所有的日志.比如Splunk就是一个很好的免费日志服务器,它不仅可以接受多种方式发送来的日志(包括syslog),而…

Windows日志分析工具 查看系统日志方法: 在“开始”菜单上,依次指向“所有程序”.“管理工具”,然后单击“事件查看器” 按 "Window+R",输入 ”eventvwr.msc“ 也可以直接进入“事件查看器” 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明: 事件ID 说明 4624 登录成功 4625 登录失败 4634 注销成功 4647 用户启动的注销 4672 使用超级用户(如管理员)进行登录 4720 创建用户 每…

利用Powershell和ceye.io实现Windows账户密码回传 转自:http://www.freebuf.com/articles/system/129068.html 最近在研究Powershell的使用,之前我一直不习惯Windows的主要原因是他那孱弱的命令行工具,稍微了解了Powershell之后差点跪下了,真的是一款非常了不起的工具.powershell的定义是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能.简单的理解就…

目录 WatchAD介绍 安装环境 WatchAD安装(日志分析端服务) 基础环境配置 安装WatchAD 运行WatchAD WatchAD-web安装(Web监控端服务) 下载WatchAD-Web源码 修改配置 进行编译 安装 WatchAD介绍 WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配.Kerberos协议分析.历史行为.敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法.该项目在360内部上线运行半年有余,发现多…

ELK(ElasticSearch, Logstash, Kibana),三者组合在一起就可以搭建实时的日志分析平台啦! Logstash主要用来收集.过滤日志信息并将其存储,所以主要用来提供信息. ElasticSearch是一个基于Lucene的开源分布式搜索引擎,所以主要用来进行信息搜索. Kibana为 Logstash 和 ElasticSearch 提供的日志信息提供了一个强大的可视化平台,可用来汇总.分析和搜索重要数据日志. ~~~~这仨都是开源的~~~~今天着重搭windows环…