首页 建站模板下载 JQuery插件下载 转载文章 HTML CSS Javascript Java Python
新用户注册入口 老用户登录入口
取 消 登录 注册
Golang MySQL Mongo Redis Kafka SpringBoot Linux Docker VUE ReactJS
前端技术
HTML CSS Javascript
前端框架和UI库
VUE ReactJS AngularJS JQuery NodeJS JSON Element-UI Bootstrap Material UI
服务端和客户端
Java Python PHP Golang Scala Kotlin Groovy Ruby Lua .net c# c++
后端WEB和工程框架
SpringBoot SpringCloud Struts2 MyBatis Hibernate Tornado Beego Go-Spring Go Gin Go Iris Dubbo HessianRPC Maven Gradle
数据库
MySQL Oracle Mongo
中间件与web容器
Redis MemCache Etcd Cassandra Kafka RabbitMQ RocketMQ ActiveMQ Nacos Consul Tomcat Nginx Netty
大数据技术
Hive Impala ClickHouse DorisDB Greenplum PostgreSQL HBase Kylin Hadoop Apache Pig ZooKeeper SeaTunnel Sqoop Datax Flink Spark Mahout
数据搜索与日志
ElasticSearch Apache Lucene Apache Solr Kibana Logstash
数据可视化与OLAP
Apache Atlas Superset Saiku Tesseract
系统与容器
Linux Shell Docker Kubernetes
首页 / 转载文章

[转载]Windows日志筛选

文章作者:转载 更新时间:2023-11-12 11:51:46 阅读数量:150
文章标签:日志筛选文件系统审核
本文摘要:本文介绍了在Windows环境中使用PowerShell对文件系统审核日志进行高效筛选的方法。针对日志量大、查询不便的问题,通过启用文件系统审核功能,并配置日志轮替归档策略(如500MB大小、保留60天)。运用Get-WinEvent命令结合FilterXPath参数,可精准筛选特定事件ID(如4660)及文件删除操作(AccessMask为0x10000)的日志记录,甚至细化到指定用户的操作。此外,还提供了从保存的事件日志文件中筛选以及按时间范围筛选的安全性日志方法,并给出了脚本示例以自动管理过期存档日志。同时,文章还列出了文件操作码表便于理解和解析日志内容。
转载文章

本篇文章为转载内容。原文链接:https://blog.csdn.net/weixin_34112900/article/details/92532120。

该文由互联网用户投稿提供,文中观点代表作者本人意见,并不代表本站的立场。

作为信息平台,本站仅提供文章转载服务,并不拥有其所有权,也不对文章内容的真实性、准确性和合法性承担责任。

如发现本文存在侵权、违法、违规或事实不符的情况,请及时联系我们,我们将第一时间进行核实并删除相应内容。

Windows日志筛选

因工作需求开启文件系统审核,因Windows日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。

一、需求分析

  • 存在问题

    1. 日志量巨大(每天约1G)
    2. 日志管理器查询日志不便

  • 主要目标

    1. 启用文件系统审核
    2. 快捷查询用户的删除操作
  • 解决方案
    1. 采用轮替方式归档日志(500MB)
    2. 日志存放60天(可用脚本删除超过期限日志档案)
    3. 使用Get-WinEvent中的FilterXPath过日志进行筛选,格式打印
    4. 删除操作码为0x10000,可对其进行筛选

二、文件审核设置

2.1 开启文件系统审核功能

  1. secpol.msc
  2. Advanced Audit Policy Configuration
  3. Object Access
  4. Audit File System
    • [x] Configure the following audit events:
    • [x] Success
    • [x] Failure

2.2 建立共享文件夹

  1. Folder Properties
  2. Sharing
  3. Choose people to share with
  4. Everyone

2.3 设置文件夹审核的用户组

  1. Folder Properties
  2. Security
  3. Advanced
  4. Auditing
  5. Add user

2.4 设置日志路径及大小

  1. Event Viewer
  2. Windows Logs
  3. Security
  4. Log Properties
  5. Log Path: E:\FileLog\Security.evtx
  6. Maximum log size(KB): 512000
    • [x] Archive the log when full,do not overwrite events

三、方法

  • 筛选事件ID为4460日志
PS C:\Windows\system32>  Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=4660]]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
5/22/2018 10:01:37 AM         4660 Information      An object was deleted....
5/22/2018 9:03:11 AM          4660 Information      An object was deleted....
  • 筛选文件删除日志
PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "*[EventData[Data[@Name='AccessMask']='0x10000']]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
5/22/2018 10:01:37 AM         4663 Information      An attempt was made to access an object....
5/22/2018 9:03:11 AM          4663 Information      An attempt was made to access an object....
  • 筛选指定用户文件删除日志
PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "*[EventData[Data[@Name='AccessMask']='0x10000']] and *[EventData[Data[@Name='SubjectUserName']='lxy']]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
5/22/2018 9:03:11 AM          4663 Information      An attempt was made to access an object....
  • 以变量方式筛选指定用户文件删除日志
PS C:\Windows\system32> $AccessMask='0x10000'
PS C:\Windows\system32> $UserName='lxy'
PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "*[EventData[Data[@Name='AccessMask']='$AccessMask']] and *[EventData[Data[@Name='SubjectUserName']='$UserName']]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
5/22/2018 9:03:11 AM          4663 Information      An attempt was made to access an object....
  • 从保存的文件筛选文件删除日志
PS C:\Users\F2844290> Get-WinEvent -Path 'C:\Users\F2844290\Desktop\SaveSec.evtx' -FilterXPath "*[EventData[Data[@Name='
AccessMask']='0x10000']]"PS C:\Windows\system32> $AccessMask='0x10000'
  • 筛选10分钟内发生的安全性日志
    XML中时间计算单位为ms,10minute=60 10 1000=600000
PS C:\Windows\system32> Get-WinEvent -LogName Security -FilterXPath "*[System[TimeCreated[timediff(@SystemTime) < 600000]]]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated                     Id LevelDisplayName Message
-----------                     -- ---------------- -------
5/22/2018 4:11:30 PM          4663 Information      An attempt was made to access an object....
5/22/2018 4:11:30 PM          4663 Information      An attempt was made to access an object....
5/22/2018 4:11:30 PM          4663 Information      An attempt was made to access an object....
5/22/2018 4:11:30 PM          4663 Information      An attempt was made to access an object....
  • 其它筛选方法

若有语法不明之处,可参考日志管理器中筛选当前日志的XML方法。

  • 删除超过60天的存档日志并记录
Get-ChildItem E:\FileLog\Archive-Security-* | Where-Object  {if(( (get-date) -  $_.CreationTime).TotalDays -gt 60 ){Remove-Item $_.FullName -Force
Write-Output "$(Get-Date -UFormat "%Y/%m%d")`t$_.Name" >>D:\RoMove-Archive-Logs.txt} 
}

四、其它文件

  • 文件删除日志结构
Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/22/2018 9:03:11 AM
Event ID:      4663
Task Category: File System
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      IDX-ST-05
Description:
An attempt was made to access an object.Subject:Security ID:        IDX-ST-05\lxyAccount Name:       lxyAccount Domain:     IDX-ST-05Logon ID:       0x2ed3b8Object:Object Server:  SecurityObject Type:    FileObject Name:    C:\Data\net.txtHandle ID:  0x444Process Information:Process ID: 0x4Process Name:   Access Request Information:Accesses:   DELETEAccess Mask:    0x10000
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"><System><Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /><EventID>4663</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime="2018-05-22T01:03:11.876720000Z" /><EventRecordID>1514</EventRecordID><Correlation /><Execution ProcessID="4" ThreadID="72" /><Channel>Security</Channel><Computer>IDX-ST-05</Computer><Security /></System><EventData><Data Name="SubjectUserSid">S-1-5-21-1815651738-4066643265-3072818021-1004</Data><Data Name="SubjectUserName">lxy</Data><Data Name="SubjectDomainName">IDX-ST-05</Data><Data Name="SubjectLogonId">0x2ed3b8</Data><Data Name="ObjectServer">Security</Data><Data Name="ObjectType">File</Data><Data Name="ObjectName">C:\Data\net.txt</Data><Data Name="HandleId">0x444</Data><Data Name="AccessList">%%1537</Data><Data Name="AccessMask">0x10000</Data><Data Name="ProcessId">0x4</Data><Data Name="ProcessName"></Data></EventData>
</Event>
  • 文件操作码表
File Read
Accesses: ReadData (or ListDirectory)
AccessMask: 0x1File Write
Accesses: WriteData (or AddFile)
AccessMask: 0x2File Delete
Accesses: DELETE
AccessMask: 0x10000File Rename
Accesses: DELETE
AccessMask: 0x10000File Copy
Accesses: ReadData (or ListDirectory)
AccessMask: 0x1File Permissions Change
Accesses: WRITE_DAC
AccessMask: 0x40000File Ownership Change
Accesses: WRITE_OWNER
AccessMask: 0x80000

转载于:https://blog.51cto.com/linxy/2119150

本篇文章为转载内容。原文链接:https://blog.csdn.net/weixin_34112900/article/details/92532120。

该文由互联网用户投稿提供,文中观点代表作者本人意见,并不代表本站的立场。

作为信息平台,本站仅提供文章转载服务,并不拥有其所有权,也不对文章内容的真实性、准确性和合法性承担责任。

如发现本文存在侵权、违法、违规或事实不符的情况,请及时联系我们,我们将第一时间进行核实并删除相应内容。

相关阅读
文章标题:[转载][洛谷P1082]同余方程

更新时间:2023-02-18
[转载][洛谷P1082]同余方程
文章标题:[转载]webpack优化之HappyPack实战

更新时间:2023-08-07
[转载]webpack优化之HappyPack实战
文章标题:[转载]oracle 同时更新多表,在Oracle数据库中同时更新两张表的简单方法

更新时间:2023-09-10
[转载]oracle 同时更新多表,在Oracle数据库中同时更新两张表的简单方法
文章标题:[转载][Unity] 包括场景互动与射击要素的俯视角闯关游戏Demo

更新时间:2024-03-11
[转载][Unity] 包括场景互动与射击要素的俯视角闯关游戏Demo
文章标题:[转载]程序员也分三六九等?等级差异,一个看不起一个!

更新时间:2024-05-10
[转载]程序员也分三六九等?等级差异,一个看不起一个!
文章标题:[转载]海贼王 动漫 全集目录 分章节 精彩打斗剧集

更新时间:2024-01-12
[转载]海贼王 动漫 全集目录 分章节 精彩打斗剧集
名词解释
作为当前文章的名词解释,仅对当前文章有效。
文件系统审核文件系统审核是一项操作系统功能,用于记录用户或应用程序对文件、文件夹或其他特定对象的访问尝试以及操作结果。在Windows环境中,通过启用并配置文件系统审核策略,系统会自动生成详细的日志事件,记录如读取、写入、删除等各类操作,以供管理员审查和审计目的使用,确保系统的安全性与合规性。
FilterXPathFilterXPath是在PowerShell中使用Get-WinEvent命令筛选事件日志时的一种高级筛选语法,它基于XPath查询语言来精准定位和提取日志中的特定信息。例如,在处理Windows事件日志时,可以利用FilterXPath指定筛选条件,如事件ID、时间范围、源名称、事件描述中的关键词等,从而高效地从海量日志数据中提取出满足特定需求的日志条目。
AccessMaskAccessMask是Windows操作系统在权限管理中使用的二进制标志位集合,用来表示用户对某个对象(如文件、注册表键值等)的访问权限类型和级别。在本文的上下文中,AccessMask值为0x10000代表了“DELETE”权限,即用户试图或成功执行了删除操作。通过检查日志中的AccessMask字段,管理员可以快速识别哪些用户进行了文件删除行为,这对于安全审计和追踪异常活动至关重要。
延伸阅读
作为当前文章的延伸阅读,仅对当前文章有效。
在深入探讨了Windows日志筛选,特别是利用PowerShell进行文件系统审核日志高效查询之后,我们可以进一步关注日志管理在现代企业安全策略中的重要性以及最新技术动态。近期,微软发布了Azure Monitor中的日志分析新功能,允许用户跨混合云环境集中收集、分析和可视化各类日志数据,包括Windows事件日志,并通过Kusto查询语言实现复杂日志筛选和实时警报。
另外,随着GDPR等法规的实施,日志审计与合规性要求更加严格。《信息安全技术 网络安全等级保护基本要求》等相关标准强调了日志记录、留存和审查机制的必要性,对于企业来说,不仅需要优化日志筛选工具以提升效率,还应确保所有操作行为可追溯,符合法规要求。
同时,在DevOps实践中,日志聚合与智能分析平台如Splunk、Elasticsearch和Logstash(ELK Stack)等也在日志管理领域崭露头角,它们提供了强大的搜索过滤功能以及机器学习算法支持,能够帮助企业快速定位问题、预测潜在风险,并有效提高运维工作效率。
综上所述,日志筛选与分析不仅是IT运维的重要一环,也是当今网络安全与合规保障的关键手段。了解并掌握最新的日志处理技术和解决方案,有助于企业和组织在面对日益复杂的网络环境时,更好地维护信息系统的稳定性和安全性。
知识学习
实践的时候请根据实际情况谨慎操作。
随机学习一条linux命令:
journalctl [-u service_name] - 查看系统日志(适用于systemd系统)。
推荐内容
推荐本栏目内的其它文章,看看还有哪些文章让你感兴趣。
转载文章
[转载][洛谷P1082]同余方程
2023-02-18
转载文章
[转载]webpack优化之HappyPack实战
2023-08-07
转载文章
[转载]oracle 同时更新多表,在Oracle数据库中同时更新两张表的简单方法
2023-09-10
转载文章
[转载]海贼王 动漫 全集目录 分章节 精彩打斗剧集
2024-01-12
转载文章
[转载]Proxy 、Relect、响应式
2023-01-11
转载文章
[转载]WinForm-ListBox控件美化
2023-10-22
转载文章
[转载]FLASH右键菜单的应用
2023-01-13
转载文章
[转载]MySQL: 分页查询公式
2023-10-29
转载文章
[转载]详解Class类文件的结构(上)
2024-01-09
转载文章
[转载]【设计原则】依赖倒置原则 (面向接口编程)
2023-08-26
转载文章
[转载]小白鼠的逆袭
2023-01-02
转载文章
[转载]第六计 / Explosive City (2004)
2023-05-10
快速导航
这里展示了本站支持的所有栏目,方便快速切换。
首页 建站模板下载 JQuery插件下载 转载文章 HTML CSS Javascript Java Python PHP Golang Scala Kotlin Groovy Ruby Lua .net c# c++ SpringBoot SpringCloud Struts2 Tornado Beego Go-Spring Go Gin Go Iris MyBatis Hibernate MySQL Oracle Mongo VUE ReactJS AngularJS JQuery NodeJS JSON Element-UI Bootstrap Material UI Redis MemCache Etcd Cassandra Kafka RabbitMQ RocketMQ ActiveMQ Hive Impala ClickHouse DorisDB Greenplum PostgreSQL HBase Kylin Hadoop Apache Pig ElasticSearch Lucene Apache Solr Kibana Logstash SeaTunnel Sqoop Datax Flink Spark Atlas Superset Saiku Mahout Tesseract ZooKeeper Nacos Consul Dubbo HessianRPC Tomcat Nginx Netty Linux Shell Docker Kubernetes Maven Gradle
历史内容
快速导航到对应月份的历史文章列表。
全部文章 转载文章 2025年05月 2025年04月 2025年03月 2025年02月 2025年01月 2024年12月 2024年11月 2024年10月 2024年09月 2024年08月 2024年07月 2024年06月 2024年05月 2024年04月 2024年03月 2024年02月 2024年01月 2023年12月 2023年11月 2023年10月 2023年09月 2023年08月 2023年07月 2023年06月 2023年05月 2023年04月 2023年03月 2023年02月 2023年01月
随便看看
拉到页底了吧,随便看看还有哪些文章你可能感兴趣。
[JQuery插件下载]可自定义logo的jQuery生成二维码插件 01-03 [JQuery插件下载]jquery每日签到日历插件 10-10 [JQuery插件下载]高度可定制的jQuery瀑布流网格布局插件 03-15 [Consul]Consul中服务实例自动注销问题解析:健康检查、稳定性与Agent配置的影响及解决策略 01-22 [MySQL]怎么看mysql 的安装路径 12-31 [JQuery插件下载]jquery横向手风琴效果 12-23 [建站模板下载]蓝色数码电子产品销售HTML5网站模板 12-14 [JQuery插件下载]jQuery和CSS3汉堡包导航菜单打开动画特效 10-19 [Python]python模拟生存游戏 10-08 本次刷新还10个文章未展示,点击 更多查看。
[JQuery插件下载]jQuery.eraser-实现橡皮擦擦除功能的jquery插件 05-26 [Netty]Netty中ChannelNotRegisteredException异常处理:理解原因与确保Channel注册状态的方法示例 05-16 [建站模板下载]响应式游戏开发类企业前端cms模板下载 05-02 [建站模板下载]精美的花甲美食网站HTML模板下载 03-09 [建站模板下载]soulmate粉色干净浪漫唯美婚礼单页响应式网站模板 03-07 [Java]Vue.js项目中proxyTable数据转发遭遇504错误:服务器响应时间与网络连接问题排查及解决方案 03-05 [SpringCloud]SpringCloud服务路由配置错误与失效:识别问题、排查步骤及组件解析这个涵盖了的核心内容,包括SpringCloud框架下的服务路由配置错误失效问题的识别,以及涉及到的服务注册中心、Gateway、Zuul等组件的功能解析和故障排查的具体步骤。同时,字数控制在了50个字以内,满足了要求。 03-01 [CSS]css水平线长度设置 02-11 [转载文章][转载]Proxy 、Relect、响应式 01-11 [建站模板下载]蓝色响应式软件营销代理公司网站静态模板 01-06 [Python]python正太分布校验 01-05
时光飞逝
"流光容易把人抛,红了樱桃,绿了芭蕉。"
  客服QQ:424399461 工作时间:8:30-22:00 鲁ICP备2023030764号-4 中国互联网举报中心 本站的站点地图