Сегодня утром один из друзей моих клиентов подвергся хакерской атаке из-за небезопасной конфигурации удаленного рабочего стола, и меня попросили взглянуть. (Все их бизнес-файлы были зашифрованы штаммом вымогателя Dharma за 1 квартал 2018 года).
К счастью, журналы событий Windows не были изменены, и после просмотра каждого журнала отдельно (приложение, безопасность, система и т. Д.) Я смог составить график атаки: указать, когда и как злоумышленник подключился к машине, установлен их вредоносное ПО, я видел, как службы Windows останавливаются или аварийно завершаются, а затем они отключаются.
В Windows XP и более ранних версиях необходимо было просмотреть только журналы приложений, системы и безопасности, но, начиная с Windows Vista, в узле древовидной структуры «Журналы приложений и служб» имеются журналы, относящиеся к конкретным приложениям, и с каждой новой версией Windows там появляются все новые и новые журналы для изучения - к сожалению, вам приходится просматривать их вручную: похоже, нет никакого способа выбрать данные из всех этих журналов, а затем применить фильтр диапазона даты / времени или выполнить текстовый поиск.
... или есть?
(Я знаю, что вы можете создать настраиваемое представление журнала в средстве просмотра событий, но добавить еще один журнал к поиску непросто, и это очень медленно, на самом деле весь пользовательский интерфейс средства просмотра событий мучительно медленный, медленный и неудобный с момента его изменения в Виндоус виста). Он даже советует вам создавать представление, которое ссылается на более чем 10 журналов:
Создаваемый вами фильтр или настраиваемое представление ссылается на более чем 10 журналов событий. В результате может снизиться производительность и потребоваться большой объем памяти или процессорного времени. Вы хотите продолжить?
Фактически, когда я только что создал представление, которое ссылалось на каждый журнал на моем компьютере, это привело к зависанию и зависанию программы просмотра событий, а затем, в конечном итоге, к отображению нулевых элементов - так что я думаю, что это просто полностью сломано.
Есть ли команда PowerShell, которую я мог бы запустить, чтобы выгрузить все события из всех журналов между двумя указанием временных меток?
В API Windows есть ограничение в 256 имен журналов. Либо выберите 256 журналов за раз, либо сделайте что-то вроде этого в PowerShell от имени администратора:
get-winevent -listlog * | foreach-object { get-winevent -logname $_.logname }
get-winevent -listlog * | foreach { get-winevent @{logname = $_.logname;
starttime = '2/29' } -ea 0 } | where message -match 'whatever you want'
Ты можешь использовать log2timeline для экспорта и анализа журналов среды Windows. Благодаря этому вы сможете искать и редактировать некоторые временные рамки интересных событий.
Этим ссылка на сайт вы найдете другие инструменты для работы с вашими файлами журналов.