seci-log 1.04 日誌分析增長 windows 日誌分析

本次升級並無增長新的告警，而是增長了window的日誌分析，主要分析了windows的登陸日誌和操做日誌，這兩個比較重要的日誌類型，其餘日誌類型能夠做爲通用的日誌收集功能進行存儲查詢。

Windows系統沒有自帶的功能支持系統日誌進行syslog發送，所以須要依賴第三方工具，這裏咱們推薦一款很是好用的輕量級日誌採集模塊：Nxlog，在Windows下部署和配置均十分便捷。

注：本人測試過2008 ,2003 server，理論上2012也是能夠的，其餘環境沒有測試，若是有問題歡迎到羣裏諮詢。

一、安裝Nxlog

從Sourceforge下載最新的 Nxlog，並安裝。

二、創建配置文件

修改配置文件，默認配置文件位置：

C:\Program Files\nxlog\conf\nxlog修改成如下內容，注意要修改實際路徑和爭取的發送目的的地址。

若是想收集所有日誌去掉query行。

im_msvistalog針對Windows 2008系列，im_mseventlog針對Windows 2003系列。注意和實際環境一致。

define ROOT C:\Program Files\nxlog

 

Moduledir %ROOT%\modules

CacheDir %ROOT%\data

Pidfile %ROOT%\data\nxlog.pid

SpoolDir %ROOT%\data

LogFile %ROOT%\data\nxlog.log

 

<Extension syslog>

Module xm_syslog

</Extension>

 

<Input in>

    Module      im_msvistalog

ReadFromLast TRUE

 Query <QueryList><Query Id="1"><Select Path="Security">*[System[(EventID=4688 or EventID=4624 or EventID=4625) ]]</Select></Query></QueryList>

Exec  $Message = ""; 

Exec to_syslog_ietf(); $raw_event = replace($raw_event, 'NXLOG@14506', 'secisland windows eventlog ', 1);

</Input>

 

<Output out>

    Module      om_udp

    Host        192.168.21.1

    Port        514

 

</Output>

 

<Route 1>

    Path        in => out

</Route>

三、重啓Nxlog服務

四、查看日誌

若是配置正常，能夠在後檯安全健康--安全事件中看到以下日誌：

2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登陸" Opcode="信息" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta

五、相關告警

密碼猜想，非上班時間登陸，非上班地點登陸，密碼猜想成功，帳號猜想告警和這些內容相關。