System Windows jest obecnie najpopularniejszym systemem operacyjnym i nic nie wskazuje że w najbliższym czasie coś się zmieni. W linuxie możemy monitorować każdą rzecz jaką chcemy, natomiast w Windowsie jest nieco inaczej.
Mechanizm Monitoringu Zdarzeń Systemowych
Event Log jest usługą Windows odpowiedzialną za logowanie zdarzeń systemowych (w tym związanych z bezpieczeństwem) i aplikacyjnych. Rozszerzeniem dla EventLog może być Sysmon, do analizy Sysmon View. Uzupełnieniem monitorowania zdarzeń są niskopoziomowe narzędzia dla aplikacji jest niskopoziomy mechnizm śledzenia WPP software tracing dla driverów jest czarna skrzynka Inflight Trace Recorder (IFR) for logging traces która zaczytuje informacje ze sterowników.
- EventLog
- Sysmon
- Sysmon View
- Automatyzacja powiadamiania o zdarzeniach
Mechanizm Monitoringu Eventlog
Event Log jest usługą Windows odpowiedzialną za logowanie zdarzeń systemowych (w tym związanych z bezpieczeństwem) i aplikacyjnych.
Zdarzenia te można potem przeglądać programem Event Viewer (eventvwr.exe), Do sterowania poszczególnymi dziennikami służy program wevtutil.exe.
wyświetlić listę dzienników w bieżącym systemie:
wevtutil el
Każdy z dzienników można bardzo prosto wyczyścić:
wevtutil cl Security
Można też wyczyścić wszystkie dzienniki za jednym podejściem:
for /f “delims=” %%I in (‘wevtutil el’) do (wevtutil cl “%%I”)
Można wyłączyć logowanie zdarzeń do konkretnego dziennika:
wevtutil sl Security /e:false
W powershellu polecenie
Get-EventLog
Get-EventLog -List
Get-EventLog -LogName Security -Newest 5
Clear-EventLog
Można użyć narzędzia Phant0m który zabija wszystkie wątki Dziennika zdarzeń
Zdarzenia te można potem przeglądać programem Event Viewer (eventvwr.exe),
Przechodzimy na sekcję security zabezpieczenia i sprawdzamy
ostatni log klawiszem END
Dzięki tej operacji wiemy z ilu dni mamy logi i możemy
manewrować wielkością logu w zakładce
Domyślnie Najstarsze logi są nadpisywane ale można archiwizować dziennik po zapełnieniu. Jeżeli jest dużo eventów nie istotnych to można je wyłączyć raportowanie żeby nie zaśmiecały nam logów. Racjonalną pojemnością ze względów wydajnościowych do zaczytywania logów jest parę tysięcy na sekundę. Lokalizacja eventlogów C:\Windows\System32\winevt\Logs
Security event log nie zbiera wszystkiego co by mogło nam zależeć jeżeli chcemy bardziej rozbudowanego narzędzia które zbiera więcej
informacji z pomocą przychodzi nam sysmon Microsoftu z pakietu Sysinternals.
Monitoruje wewnętrzne aktywności Windowsa, działa jako usługa systemowa i sterownik. Śledzi aktywność systemu plików, Rejestru, stosu sieciowego i działających aplikacji. Uruchamia się na wczesnym etapie rozruchu systemu, wychwytując praktycznie wszystkie detale.
Dodaj komentarz