seci-log 1.04 日志分析增长 windows 日志分析

本次升级并无增长新的告警，而是增长了window的日志分析，主要分析了windows的登陆日志和操做日志，这两个比较重要的日志类型，其余日志类型能够做为通用的日志收集功能进行存储查询。

Windows系统没有自带的功能支持系统日志进行syslog发送，所以须要依赖第三方工具，这里咱们推荐一款很是好用的轻量级日志采集模块：Nxlog，在Windows下部署和配置均十分便捷。

注：本人测试过2008 ,2003 server，理论上2012也是能够的，其余环境没有测试，若是有问题欢迎到群里咨询。

一、安装Nxlog

从Sourceforge下载最新的 Nxlog，并安装。

二、创建配置文件

修改配置文件，默认配置文件位置：

C:\Program Files\nxlog\conf\nxlog修改成如下内容，注意要修改实际路径和争取的发送目的的地址。

若是想收集所有日志去掉query行。

im_msvistalog针对Windows 2008系列，im_mseventlog针对Windows 2003系列。注意和实际环境一致。

define ROOT C:\Program Files\nxlog

 

Moduledir %ROOT%\modules

CacheDir %ROOT%\data

Pidfile %ROOT%\data\nxlog.pid

SpoolDir %ROOT%\data

LogFile %ROOT%\data\nxlog.log

 

<Extension syslog>

Module xm_syslog

</Extension>

 

<Input in>

    Module      im_msvistalog

ReadFromLast TRUE

 Query <QueryList><Query Id="1"><Select Path="Security">*[System[(EventID=4688 or EventID=4624 or EventID=4625) ]]</Select></Query></QueryList>

Exec  $Message = ""; 

Exec to_syslog_ietf(); $raw_event = replace($raw_event, 'NXLOG@14506', 'secisland windows eventlog ', 1);

</Input>

 

<Output out>

    Module      om_udp

    Host        192.168.21.1

    Port        514

 

</Output>

 

<Route 1>

    Path        in => out

</Route>

三、重启Nxlog服务

四、查看日志

若是配置正常，能够在后台安全健康--安全事件中看到以下日志：

2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登陆" Opcode="信息" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta

五、相关告警

密码猜想，非上班时间登陆，非上班地点登陆，密码猜想成功，帐号猜想告警和这些内容相关。