Windows日志筛选

  

Windows日志筛选

  

因工作需求开启文件系统审核,因窗户日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。

  

一、需求分析

  
      <李>   

    <强>存在问题

      
        <李>日志量巨大(每天约1 g)   <李>日志管理器查询日志不便李   
      李   <李>   

    <强>主要目标

      
        <李>启用文件系统审核李   <李>快捷查询用户的删除操作李   
      李   <李> <>强解决方案   
        <李>采用轮替方式归档日志(500 mb)   <李>日志存放60天(可用脚本删除超过期限日志档案)   <李>使用Get-WinEvent中的FilterXPath过日志进行筛选,格式打印   <李>删除操作码为0 x10000,可对其进行筛选李   李
      
  

二、文件审核设置

  

2.1开启文件系统审核功能

  
      <李> secpol.msc李   <李>高级审计策略配置   <李>对象访问李   <李>审计文件系统   
        <李> [x]配置审计事件如下:   <李> [x]成功   <李> [x]失败   李
      
  

2.2建立共享文件夹

  
      <李> 文件夹属性   <李> 分享   <李>与选择人们分享   <李>每个   
  

2.3设置文件夹审核的用户组

  
      <李> 文件夹属性   <李> 安全   <李> 先进   <李>审核   <李>添加用户   
  

2.4设置日志路径及大小

  
      <李>事件查看器   <李> Windows日志   <李> 安全   <李> 日志属性   <李>日志路径:E: \ FileLog \ Security.evtx李   <李>最大日志大小(KB): 512000李   <李>   
        <李> [x]归档日志满时,不要覆盖事件李   
      李   
  

三、方法

  
      <李> <>强筛选事件ID为4460日志   
  
 <代码> PS C:\Windows\ system32>Get-WinEvent -LogName安全-FilterXPath”*(系统[EventID=4660]]”
  
  ProviderName: Microsoft-Windows-Security-Auditing
  
  TimeCreated Id LevelDisplayName消息
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  5/22/2018 10:01:37是4660信息对象被删除....
  5/22/2018 9:03:11是4660信息对象被删除....
  
      <李> <>强筛选文件删除日志   
  
 <代码> PS C:\Windows\ system32>Get-WinEvent -LogName“安全”-FilterXPath“* [EventData[数据[@ name=' AccessMask ']=' 0 x10000 ']]”
  
  ProviderName: Microsoft-Windows-Security-Auditing
  
  TimeCreated Id LevelDisplayName消息
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  5/22/2018 10:01:37是4663信息是尝试访问一个对象....
  5/22/2018 9:03:11是4663信息是尝试访问一个对象....
  
      <李> <>强筛选指定用户文件删除日志   
  
 <代码> PS C:\Windows\ system32>Get-WinEvent -LogName“安全”-FilterXPath“* [EventData[数据[@ name=' AccessMask ']=' 0 x10000 ']]和[EventData[数据[@ name=' SubjectUserName ']=' lxy ']]”
  
  ProviderName: Microsoft-Windows-Security-Auditing
  
  TimeCreated Id LevelDisplayName消息
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  5/22/2018 9:03:11是4663信息是尝试访问一个对象....
  
      <李> <>强以变量方式筛选指定用户文件删除日志   
  
 <代码> PS C:\Windows\ system32>美元AccessMask=' 0 x10000 '
  PS C:\Windows\ system32>$ UserName=發xy”
  PS C:\Windows\ system32>Get-WinEvent -LogName“安全”-FilterXPath“* [EventData[数据[@ name=' AccessMask ']=' AccessMask美元']]和[EventData[数据[@ name=' SubjectUserName ']=' $ UserName ']]”
  
  ProviderName: Microsoft-Windows-Security-Auditing
  
  TimeCreated Id LevelDisplayName消息
  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
  5/22/2018 9:03:11是4663信息是尝试访问一个对象....
  
      <李> <强>从保存的文件筛选文件删除日志   
  
 <代码> PS C:\Users\ F2844290>Get-WinEvent路径的C: \ \ F2844290 \ \ SaveSec桌面用户。evtx -FilterXPath”* [EventData[数据[@ name='
  AccessMask ']=' 0 x10000]]”PS C:\Windows\ system32>$ AccessMask=0 x10000”
Windows日志筛选