Windows学习笔记(3)关于事件日志
**访问事件日志:
- 事件查看器
- wevtutil.exe
- Get-WinEvent
事件查看器
左:提供事件日志提供程序的分层树列表
中:显示特定于所选提供商的事件的一般概述和摘要
右:做窗格
查看属性
可以看到日志位置、日志大小以及日志的创建、修改和上次访问时间。
Actions窗格
创建自定义视图
过滤当前日志
查看来自另一台计算机的事件日志
命令在general中寻找
wevtutil.exe
**命令:
wevtutil.exe /?
获取有关命令 (query-events)
wevtutil qe /?
查取日志名称数量
Get_WinEvent
**powershell 的cmdlet
**进入 powershell就可以使用Get_WinEvent工具了
关于更多的例子
https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.diagnostics/get-winevent?view=powershell-7.5&viewFallbackFrom=powershell-7.1
*从计算机获得所有日记
Get-WinEvent -ListLog *
*获取包含特定字符串的事件日志提供程序名称
Get-WinEvent -ListProvider *特定字符串*
**获取事件提供程序生成的事件ID
(Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy).Events | Format-Table Id, Description
**Measure-Object cmdlet#用于显示ID数量
显示指定事件数量
-MaxEvents n #n是数量
XPath查询
**wevtutil 和 Get-WinEvent 都支持将 XPath 查询作为事件筛选器。
**XPath事件查询以 '*' 或 'Event' 开头
*典1
使用 Get-WinEvent 和 XPath,查找登录事件 ID 为 4720 的名为 Sam 的用户的查询
Get-WinEvent -LogName Security -FilterXPath '*/EventData/Data[@Name="TargetUserName"]="Sam" and */System/EventID=4720'
*典2
使用在 Get-WinEvent 和 XPath 上获得的知识,查找系统时间为 2020-12-15T01:09:08.940277500Z 的 WLMS 事件的查询
Get-WinEvent -LogName Application -FilterXPath '*/System/Provider[@Name="WLMS"] and */System/TimeCreated[@SystemTime="2020-12-15T01:09:08.940277500Z"]'
事件ID
Windows日记记录作弊表
https://static1.squarespace.com/static/552092d5e4b0661088167e5c/t/580595db9f745688bc7477f6/1476761074992/Windows+Logging+Cheat+Sheet_ver_Oct_2016.pdf
获取要监控/搜寻的事件 ID 列表
https://attack.mitre.org/
用于检测 PowerShell 降级攻击的事件 ID 是400
补充
筛选event id
事件记录ID和计算机名称查询
**双击_dertails_XML
PowerShell 命令中第一个变量的名称
**第一个在最后
安全组命令和事件ID
****双击_dertails_XML
事件记录ID:
EventRecordID
计算机名称:
computer
执行进程ID:
Execution ProcessID
EVTX攻击样本
https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES
PowerShell ♥ the Blue Team
https://devblogs.microsoft.com/powershell/powershell-the-blue-team/