域内日志分析
字数 1020 2025-08-20 18:18:17

域内日志分析技术详解

一、日志文件基础

  1. 日志文件格式:域内日志一般以.evtx结尾
  2. 搜索日志文件命令
    dir /s/b *.evtx
    • /s:递归搜索,包括子目录
    • /b:简洁模式,只显示文件路径

二、日志分析工具LogParser使用

基本语法

LogParser.exe -i:evt -o:csv "SELECT RecordNumber,TimeWritten,EventID,Strings,Message into C:\log5.csv FROM Security where EventID='4624' and Strings LIKE '%|Kerberos|%|%.%.%.%|%' and Strings not LIKE '%|%$|%'"
  • -i: 输入文件类型
  • -o: 输出文件类型

常用查询示例

  1. 导出域内用户登录行为: 
    SELECT RecordNumber,TimeWritten,EventID,Strings,Message INTO C:\log5.csv 
FROM Security 
WHERE EventID='4624' 
  AND Strings LIKE '%|Kerberos|%|%.%.%.%|%' 
  AND Strings not LIKE '%|%$|%'

三、日志导出方法

1. VPN方式

  • 获取域控日志位置
    dir /s/b \\10.10.10.10\c$\security.evtx
  • 复制日志到本地
    copy \\10.10.10.10\c$\Windows\System32\winevt\Logs\ C:\Users\admins\Desktop\log
  • 远程导出日志
    LogParser.exe -i:EVT -o:CSV "SELECT * INTO C:\1.csv FROM \\10.10.10.10\Security"

2. Socks代理方式

  • 操作与VPN方式类似,但受限于DNS解析问题,通常只能使用IP操作,走NTLM认证

3. 远程木马方式

  • 未详细描述具体实现方法

四、认证方式与日志分析

1. NTLM认证

  • 特征:使用IP地址进行远程主机定位
  • 日志特征
    S-1-0-0|-|-|0x0|S-1-5-21-3315874494-179465980-3412869843-1115|admins|VVVV1|0x889d1b|3|NtLmSsp |NTLM|WEB-2003|{00000000-0000-0000-0000-000000000000}|-|NTLM V1|128|0x0|-|10.10.10.3|1280|%%1833|-|-|-|%%1843|0x0|%%1842
  • 查询命令
    SELECT * INTO C:\1.csv FROM \\10.10.10.10\Security where strings like '%|NTLM|%|%.%.%.%|%'

2. Kerberos认证

  • 特征:使用域名或机器名进行定位
  • 日志特征
    S-1-0-0|-|-|0x0|S-1-5-21-3315874494-179465980-3412869843-500|Administrator|VVVV1.COM|0x7c3dbeb9|3|Kerberos|Kerberos||{CE15C23A-E7E3-3FC1-4A75-FDF339BEC822}|-|-|0|0x0|-|10.10.10.12|50364|%%1840|-|-|-|%%1843|0x0|%%1842
  • 查询命令
    SELECT * INTO C:\1.csv FROM \\10.10.10.10\Security where strings like '%|Kerberos|%|%.%.%.%|%' and strings not like '%|%$|%'

五、常见操作日志分析

1. net use连接

  • NTLM认证:使用IP地址连接
  • Kerberos认证:使用机器名或域名连接

2. dir连接

  • 日志特征与net use类似

3. 成员主机连接

  • 使用NTLM认证时,主要在目标主机日志中体现
  • 使用Kerberos认证时,会在域控留下请求TGT和ST日志

4. 成员主机登录

  • 域内用户登录会在域控留下Kerberos认证日志
  • 本地账户登录只在本机日志中体现

六、PowerShell日志分析

  1. 日志特点

    • 正常配置下只记录PowerShell打开(ID:600)和关闭(ID:403)事件
    • 交互式shell中执行的命令不会被记录
    • WebShell等非交互式执行的命令会被记录

  2. PowerShell脚本使用技巧

    Powershell -ExecutionPolicy Bypass
    • 绕过执行策略限制
    • 常用命令: 
      Import-Module ./SharpHound.ps1
Get-Module
Get-Command -Module SharpHound
Get-Help SharpHound
get-help Invoke-BloodHound -full

七、日志清除技术

  1. 注意事项

    • 删除所有日志会暴露痕迹
    • Windows不提供删除单条日志的功能

  2. 工具推荐

  3. 清除RDP登录痕迹

    • 事件ID 1149:记录成功RDP登录的源IP
    • 注册表位置: 
      HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\
    • 事件ID 5156:记录本机访问其他服务器3389端口的情况

八、关键事件ID

  • 4624 —— 帐户已成功登录
  • 4625 —— 帐户无法登录
  • 1149 —— 用户认证成功

九、防御建议

  1. 监控关键事件ID
  2. 定期审计域控日志
  3. 限制PowerShell执行策略
  4. 监控日志删除行为
  5. 对RDP连接进行详细记录和分析
域内日志分析技术详解 一、日志文件基础 日志文件格式 :域内日志一般以 .evtx 结尾 搜索日志文件命令 : /s :递归搜索,包括子目录 /b :简洁模式,只显示文件路径 二、日志分析工具LogParser使用 基本语法 -i : 输入文件类型 -o : 输出文件类型 常用查询示例 导出域内用户登录行为: 三、日志导出方法 1. VPN方式 获取域控日志位置 : 复制日志到本地 : 远程导出日志 : 2. Socks代理方式 操作与VPN方式类似,但受限于DNS解析问题,通常只能使用IP操作,走NTLM认证 3. 远程木马方式 未详细描述具体实现方法 四、认证方式与日志分析 1. NTLM认证 特征 :使用IP地址进行远程主机定位 日志特征 : 查询命令 : 2. Kerberos认证 特征 :使用域名或机器名进行定位 日志特征 : 查询命令 : 五、常见操作日志分析 1. net use连接 NTLM认证 :使用IP地址连接 Kerberos认证 :使用机器名或域名连接 2. dir连接 日志特征与net use类似 3. 成员主机连接 使用NTLM认证时,主要在目标主机日志中体现 使用Kerberos认证时,会在域控留下请求TGT和ST日志 4. 成员主机登录 域内用户登录会在域控留下Kerberos认证日志 本地账户登录只在本机日志中体现 六、PowerShell日志分析 日志特点 : 正常配置下只记录PowerShell打开(ID:600)和关闭(ID:403)事件 交互式shell中执行的命令不会被记录 WebShell等非交互式执行的命令会被记录 PowerShell脚本使用技巧 : 绕过执行策略限制 常用命令: 七、日志清除技术 注意事项 : 删除所有日志会暴露痕迹 Windows不提供删除单条日志的功能 工具推荐 : Eventlogedit-evtx--Evolution EventCleaner 清除RDP登录痕迹 : 事件ID 1149:记录成功RDP登录的源IP 注册表位置: 事件ID 5156:记录本机访问其他服务器3389端口的情况 八、关键事件ID 4624 —— 帐户已成功登录 4625 —— 帐户无法登录 1149 —— 用户认证成功 九、防御建议 监控关键事件ID 定期审计域控日志 限制PowerShell执行策略 监控日志删除行为 对RDP连接进行详细记录和分析