zoukankan      html  css  js  c++  java
  • windows日志分析工具-LogonTracer

    0x01 Windows应急日志常用的几个事件ID

    • 4624:这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
    • 4625:这个事件ID表示登陆失败的用户。
    • 4768:这个事件ID表示Kerberos身份验证票证请求(TGT请求)
    • 4769:这个事件ID表示已发出Kerberos服务票证请求(ST请求)
    • 4776:这个事件ID表示计算机尝试验证账户凭据(NTLM)

    0x02 LogonTracer

    LogonTracer是一款用于可视化分析Windows安全事件日志寻找恶意登录的工具。它会将登录相关事件中找到的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来。通过这种方式,可以看到哪个帐户中发生过登录尝试以及哪个主机被使用。基于此研究,该工具可以可视化与Windows登录相关的上述事件ID。

    0x03 github地址

    https://github.com/TheKingOfDuck/logonTracer

    这里有LogonTracer的安装方式

    0x04 坑点

    安装好之后,打开页面可能会没有反应,并且点击“Upload Event Log”按钮没反应,这是因为js是引用了远程js,而这些js在国内是无法访问的。

    解决方法:

    1、修改hosts文件,增加一行内容

    151.139.237.11 cdn.rawgit.com

    2、编辑网站文件index.html


    https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
    替换为
    https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js

    0x05 使用

    若neo4j数据库中存在节点信息,需要手动删除

    MATCH (n)
    OPTIONAL MATCH (n)-[r]-()

    手动导入日志文件方法:

    python3 logontracer.py -e 日志文件 -z 8 -u neo4j用户名 -p neo4j密码 -s 本机ip地址

    启动LogonTracer

    python3 logontracer.py -r -o 8080 -u neo4j用户名 -p neo4j密码 -s 本机ip地址
  • 相关阅读:
    URL记录
    Mongodb集群节点故障恢复场景分析(转)
    IO 和 NIO 的区别
    VUE 前端项目优化方法
    缓存的穿透和雪崩
    接口如何处理重复请求?
    线程池构造类 ThreadPoolExecutor 的 5 个参数
    大型网站在架构上应当考虑哪些问题
    synchronized 和 lock 的区别
    JVM虚拟机 YGC和FGC发生的具体场景
  • 原文地址:https://www.cnblogs.com/hell0w/p/12009035.html
Copyright © 2011-2022 走看看