Windows Event Log位置
目錄
在進行事件分析時,相較於在目標主機上直接操作,取得目標主機的 Event log 來進行分析是較為良好的方式,不會在操作時同時汙染了目標主機。因此,在遇到 Windows 系統時,可到 log 的存放位置來取得幾個重要的 event log。
Event Log 位置
windows event log預設位置為: %SystemRoot%\System32\winevt\Logs\
,如果沒有看到或需要進行調整的話可以到註冊檔中確認與調整,註冊檔位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog
。
幾個重要的event log
以下是進行事件查找時常會用到的幾個 log ,但是 log 是否被紀錄下來取決於稽核原則的設定,因此,記得進行良好的稽核原則設定,以利後續事件的查找。
System.evtx
在 System 中有主機運作的相關訊息。
Security.evtx
在 Security Log 中有主機的 Login/Logout 資訊,還有其他 Security 相關的 log。
Application.evtx
Application log
Windows PowerShell.evtx
在 Windows PowerShell 中有 PowerShell 執行的相關訊息。
MSExchange Management.evtx
MSExchange Management log 記錄了 Exchange 的操控行為,如果需調查的主機是 Exchange Server,此 Log 可能會有一些弱點被利用的資訊。