目錄

Windows Event Log位置

在進行事件分析時,相較於在目標主機上直接操作,取得目標主機的 Event log 來進行分析是較為良好的方式,不會在操作時同時汙染了目標主機。因此,在遇到 Windows 系統時,可到 log 的存放位置來取得幾個重要的 event log。

Event Log 位置

windows event log預設位置為: %SystemRoot%\System32\winevt\Logs\ ,如果沒有看到或需要進行調整的話可以到註冊檔中確認與調整,註冊檔位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

幾個重要的event log

以下是進行事件查找時常會用到的幾個 log ,但是 log 是否被紀錄下來取決於稽核原則的設定,因此,記得進行良好的稽核原則設定,以利後續事件的查找。

System.evtx

在 System 中有主機運作的相關訊息。

Security.evtx

在 Security Log 中有主機的 Login/Logout 資訊,還有其他 Security 相關的 log。

Application.evtx

Application log

Windows PowerShell.evtx

在 Windows PowerShell 中有 PowerShell 執行的相關訊息。

MSExchange Management.evtx

MSExchange Management log 記錄了 Exchange 的操控行為,如果需調查的主機是 Exchange Server,此 Log 可能會有一些弱點被利用的資訊。

延伸閱讀

參考資料

https://docs.microsoft.com/en-us/troubleshoot/windows-server/application-management/move-event-viewer-log-files