Windows日志筛选
因工作需求开启文件系统审核,因窗户日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。
一、需求分析
-
<李>
<强>存在问题强>
-
<李>日志量巨大(每天约1 g) 李>
<李>日志管理器查询日志不便李>
<强>主要目标强>
-
<李>启用文件系统审核李>
<李>快捷查询用户的删除操作李>
-
<李>采用轮替方式归档日志(500 mb) 李>
<李>日志存放60天(可用脚本删除超过期限日志档案)李>
<李>使用Get-WinEvent中的FilterXPath过日志进行筛选,格式打印李>
<李>删除操作码为0 x10000,可对其进行筛选李>
李
二、文件审核设置
2.1开启文件系统审核功能
-
<李> secpol.msc李>
<李>高级审计策略配置李>
<李>对象访问李>
<李>审计文件系统
-
<李> [x]配置审计事件如下:李>
<李> 李> [x]成功
<李> 李> [x]失败
李
2.2建立共享文件夹
-
<李> 李>文件夹属性
<李> 李>分享
<李>与李>选择人们分享
<李>每个李>
2.3设置文件夹审核的用户组
-
<李> 李>文件夹属性
<李> 李>安全
<李> 李>先进
<李>审核李>
<李>添加用户李>
2.4设置日志路径及大小
-
<李>事件查看器李>
<李> Windows日志李>
<李> 李>安全
<李> 李>日志属性
<李>日志路径:E: \ FileLog \ Security.evtx李>
<李>最大日志大小(KB): 512000李>
<李>
-
<李> [x]归档日志满时,不要覆盖事件李>
三、方法
-
<李> <>强筛选事件ID为4460日志强> 李>
<代码> PS C:\Windows\ system32>Get-WinEvent -LogName安全-FilterXPath”*(系统[EventID=4660]]” ProviderName: Microsoft-Windows-Security-Auditing TimeCreated Id LevelDisplayName消息 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 5/22/2018 10:01:37是4660信息对象被删除.... 5/22/2018 9:03:11是4660信息对象被删除.... 代码>
-
<李> <>强筛选文件删除日志强> 李>
<代码> PS C:\Windows\ system32>Get-WinEvent -LogName“安全”-FilterXPath“* [EventData[数据[@ name=' AccessMask ']=' 0 x10000 ']]” ProviderName: Microsoft-Windows-Security-Auditing TimeCreated Id LevelDisplayName消息 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 5/22/2018 10:01:37是4663信息是尝试访问一个对象.... 5/22/2018 9:03:11是4663信息是尝试访问一个对象.... 代码>
-
<李> <>强筛选指定用户文件删除日志强> 李>
<代码> PS C:\Windows\ system32>Get-WinEvent -LogName“安全”-FilterXPath“* [EventData[数据[@ name=' AccessMask ']=' 0 x10000 ']]和[EventData[数据[@ name=' SubjectUserName ']=' lxy ']]” ProviderName: Microsoft-Windows-Security-Auditing TimeCreated Id LevelDisplayName消息 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 5/22/2018 9:03:11是4663信息是尝试访问一个对象.... 代码>
-
<李> <>强以变量方式筛选指定用户文件删除日志强> 李>
<代码> PS C:\Windows\ system32>美元AccessMask=' 0 x10000 ' PS C:\Windows\ system32>$ UserName=發xy” PS C:\Windows\ system32>Get-WinEvent -LogName“安全”-FilterXPath“* [EventData[数据[@ name=' AccessMask ']=' AccessMask美元']]和[EventData[数据[@ name=' SubjectUserName ']=' $ UserName ']]” ProviderName: Microsoft-Windows-Security-Auditing TimeCreated Id LevelDisplayName消息 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 5/22/2018 9:03:11是4663信息是尝试访问一个对象.... 代码>
-
<李> <强>从保存的文件筛选文件删除日志强> 李>
<代码> PS C:\Users\ F2844290>Get-WinEvent路径的C: \ \ F2844290 \ \ SaveSec桌面用户。evtx -FilterXPath”* [EventData[数据[@ name=' AccessMask ']=' 0 x10000]]”PS C:\Windows\ system32>$ AccessMask=0 x10000”Windows日志筛选