当前位置: 首页 > article >正文

系统管理员必备:Windows安全日志分析的7个黄金事件ID(含筛选脚本)

article 2026/3/16 3:14:17
Windows安全日志深度分析7个关键事件ID与自动化检测实战在Windows系统管理中安全日志就像一座未被充分挖掘的金矿。每天产生数以万计的事件记录中往往隐藏着入侵的早期信号、权限滥用的痕迹以及内部威胁的蛛丝马迹。本文将聚焦7个最具实战价值的安全事件ID通过PowerShell脚本实现自动化分析帮助管理员在浩如烟海的日志中快速定位关键安全事件。1. 安全日志分析的核心价值与准备工作Windows安全日志是内置的免费安全监控系统记录着从账户登录到对象访问的所有安全相关操作。与商业安全产品相比它具备三个独特优势原生集成无需额外部署、审计粒度细可追踪单个文件访问、证据链完整符合取证要求。但最大的挑战在于如何从海量数据中提取有效信息。1.1 基础环境配置在开始分析前需要确保日志收集功能已正确配置# 检查安全日志状态 Get-WinEvent -ListLog Security | Select-Object LogName, IsEnabled, MaximumSizeInBytes, RecordCount # 启用所有审计子类别需管理员权限 auditpol /get /category:* | Where-Object { $_ -notmatch No Auditing } | ForEach-Object { $category $_.Split(:)[0].Trim() auditpol /set /subcategory:$category /success:enable /failure:enable }提示生产环境中建议将日志最大值设置为至少128MB可通过Limit-EventLog -LogName Security -MaximumSize 128MB调整1.2 日志收集最佳实践实践要点具体操作频率集中存储配置事件转发到SIEM系统实时本地备份使用wevtutil epl Security backup.evtx导出每日权限控制限制Event Log Readers组成员-时间同步确保所有主机NTP配置一致-2. 账户安全类事件分析账户系统是攻击者的首要目标以下事件ID构成账户安全监测的第一道防线。2.1 事件ID 4625失败的登录尝试暴力破解攻击的典型特征重点关注以下属性目标用户名针对管理员账户的失败尝试尤其危险来源IP异常地理位置或内网IP需要警惕登录类型类型3网络登录和10远程交互风险较高# 提取最近24小时失败登录 $24HoursAgo (Get-Date).AddHours(-24) Get-WinEvent -FilterHashtable { LogNameSecurity ID4625 StartTime$24HoursAgo } | Select-Object TimeCreated, {NameTargetUser;Expression{$_.Properties[5].Value}}, {NameSourceIP;Expression{$_.Properties[19].Value}}, {NameLogonType;Expression{$_.Properties[10].Value}} | Format-Table -AutoSize2.2 事件ID 4720用户账户创建未授权的账户创建往往是攻击者建立持久化访问的手段。关键验证点创建者身份是否合规应与HR流程匹配新账户是否被加入特权组账户命名是否符合规范避免与系统账户相似# 检测非工作时间创建的账户 $workHours { LogNameSecurity ID4720 StartTime(Get-Date).Date.AddHours(9) EndTime(Get-Date).Date.AddHours(18) } Get-WinEvent -FilterHashtable $workHours -ErrorAction SilentlyContinue | Where-Object { $_.TimeCreated -notin $workHours.StartTime..$workHours.EndTime } | Select-Object TimeCreated, {NameCreator;Expression{$_.Properties[0].Value}}, {NameNewUser;Expression{$_.Properties[4].Value}}3. 权限变更类事件监控权限的异常变更可能预示着内部威胁或已发生的入侵行为。3.1 事件ID 4728加入特权组以下组变更需要立即调查AdministratorsDomain AdminsEnterprise AdminsAccount Operators# 监控敏感组成员变更 $privilegedGroups ( S-1-5-32-544, # Administrators S-1-5-21domain-512, # Domain Admins S-1-5-21root domain-519 # Enterprise Admins ) Get-WinEvent -FilterHashtable {LogNameSecurity;ID4728} | Where-Object { $groupSid $_.Properties[3].Value.ToString() $privilegedGroups -contains $groupSid } | Select-Object TimeCreated, {NameTargetUser;Expression{$_.Properties[1].Value}}, {NameGroupName;Expression{ try { (New-Object System.Security.Principal.SecurityIdentifier($_.Properties[3].Value)).Translate([System.Security.Principal.NTAccount]) } catch { $_.Properties[3].Value } }}3.2 事件ID 4704用户权限分配记录对本地安全策略中用户权限分配的修改如以操作系统方式执行SeTcbPrivilege调试程序SeDebugPrivilege备份文件和目录SeBackupPrivilege4. 系统完整性事件追踪4.1 事件ID 4657注册表关键项修改监控以下注册表路径的变更HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SYSTEM\CurrentControlSet\ServicesHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon# 检测自启动项修改 Get-WinEvent -FilterHashtable {LogNameSecurity;ID4657} | Where-Object { $_.Properties[6].Value -match \\Run(|Once)\\ -or $_.Properties[6].Value -match \\Windows NT\\CurrentVersion\\Winlogon\\ } | Select-Object TimeCreated, {NameProcess;Expression{$_.Properties[1].Value}}, {NameRegistryPath;Expression{$_.Properties[6].Value}}, {NameNewValue;Expression{$_.Properties[5].Value}}4.2 事件ID 4698/4699计划任务变更攻击者常用计划任务实现持久化重点关注执行频率异常的任务如每分钟运行执行路径指向临时目录或非常见位置以SYSTEM或高权限账户运行的任务# 分析计划任务创建事件 Get-WinEvent -FilterHashtable {LogNameSecurity;ID4698} | Select-Object TimeCreated, {NameTaskName;Expression{$_.Properties[0].Value}}, {NameCreator;Expression{$_.Properties[1].Value}}, {NameAction;Expression{$_.Properties[4].Value}} | Where-Object { $_.Action -match temp|appdata } # 筛选可疑路径5. 日志完整性监控5.1 事件ID 1102日志清除事件日志被清除可能是攻击者销毁证据的行为需结合以下信息判断清除操作的时间非维护时段需警惕执行清除的账户应只有特定管理员有权限清除前后的日志体积变化# 检测日志清除行为 Get-WinEvent -FilterHashtable {LogNameSecurity;ID1102} | Select-Object TimeCreated, {NameUser;Expression{$_.Properties[0].Value}}, {NameLogCleared;Expression{$_.Properties[1].Value}}6. 综合检测脚本将关键检测点整合为自动化脚本# .SYNOPSIS Windows安全事件快速分析工具 .DESCRIPTION 检测7类高危安全事件并生成简要报告 # param( [int]$Hours 24 ) $report () $startTime (Get-Date).AddHours(-$Hours) # 暴力破解检测 $4625 Get-WinEvent -FilterHashtable { LogNameSecurity ID4625 StartTime$startTime } -ErrorAction SilentlyContinue | Measure-Object if ($4625.Count -gt 10) { $report 发现$($4625.Count)次失败登录可能存在暴力破解 } # 异常账户操作 $accountEvents Get-WinEvent -FilterHashtable { LogNameSecurity ID(4720,4726,4728) StartTime$startTime } -ErrorAction SilentlyContinue if ($accountEvents) { $report 检测到账户变更操作n ($accountEvents | Select-Object ID, {NameAction;Expression{ switch($_.ID) { 4720 { 创建用户 } 4726 { 删除用户 } 4728 { 加入特权组 } } }}, {NameTarget;Expression{ if($_.ID -eq 4728) { $_.Properties[3].Value } else { $_.Properties[0].Value } }} | Format-Table | Out-String) } # 输出报告 if ($report) { $report | Out-File SecurityReport_$(Get-Date -Format yyyyMMddHHmm).txt Write-Host 检测报告已生成发现$($report.Count)类异常 -ForegroundColor Red } else { Write-Host 未检测到明显异常活动 -ForegroundColor Green }7. 应急响应流程优化当检测到可疑事件时建议按以下优先级处理账户相关事件4625/4720/4728立即重置受影响账户密码检查账户最近活动记录验证账户权限是否异常持久化机制变更4698/4657备份相关注册表项或任务定义分析执行文件是否恶意恢复系统默认配置日志清除事件1102检查备份日志是否可用排查清除操作的时间段内其他异常加强日志保护设置在多年的安全运维实践中发现大多数高级威胁都会在早期产生可检测的安全日志事件。关键在于建立持续监控机制将本文的检测脚本设置为计划任务定期运行配合邮件告警可以显著提升威胁发现效率。

相关文章:

系统管理员必备:Windows安全日志分析的7个黄金事件ID(含筛选脚本)

Windows安全日志深度分析:7个关键事件ID与自动化检测实战 在Windows系统管理中,安全日志就像一座未被充分挖掘的金矿。每天产生数以万计的事件记录中,往往隐藏着入侵的早期信号、权限滥用的痕迹以及内部威胁的蛛丝马迹。本文将聚焦7个最具实战…...

编程日记 2026/3/16 3:14:17

高效微信自动化实战:WeChatFerry从场景痛点到智能落地指南

高效微信自动化实战:WeChatFerry从场景痛点到智能落地指南 【免费下载链接】WeChatFerry 微信逆向,微信机器人,可接入 ChatGPT、ChatGLM、讯飞星火、Tigerbot等大模型。Hook WeChat. 项目地址: https://gitcode.com/GitHub_Trending/we/WeC…...

编程日记 2026/3/16 3:14:17

压缩包密码遗忘?这款开源工具让文件恢复不再难

压缩包密码遗忘?这款开源工具让文件恢复不再难 【免费下载链接】ArchivePasswordTestTool 利用7zip测试压缩包的功能 对加密压缩包进行自动化测试密码 项目地址: https://gitcode.com/gh_mirrors/ar/ArchivePasswordTestTool 重要文件被加密压缩包锁住&#…...

编程日记 2026/3/16 3:14:16

Z-Image-Turbo-辉夜巫女与STM32结合:嵌入式设备上的图像风格迁移演示

Z-Image-Turbo-辉夜巫女与STM32结合:嵌入式设备上的图像风格迁移演示 1. 引言 想象一下,你手里拿着一块小小的、只有手指甲盖那么大的STM32开发板,它通常用来控制个LED灯或者读取个传感器数据。但现在,我们想让它干点“出格”的…...

编程日记 2026/3/16 3:12:16

Husky实战指南:如何利用Git hooks提升团队代码质量

1. 为什么你的团队需要Husky 每次代码提交就像往公共泳池里倒水,如果倒进去的是脏水,整个池子都会被污染。我在带领前端团队时,最头疼的就是看到PR里出现基础格式错误:缺少分号、缩进混乱、未使用的变量...这些低级错误消耗了大量…...

编程日记 2026/3/16 3:12:16

【Linux依赖管理】利用aptitude智能降级解决Ubuntu中libpulse-dev版本冲突问题

1. 问题背景:当Ubuntu遇到版本冲突时 最近在给Ubuntu系统安装libpulse-dev开发库时,突然弹出一堆红色错误提示,说依赖关系不满足。这种情况就像你准备组装一台电脑,所有零件都买齐了,结果发现主板和CPU的接口不匹配——…...

编程日记 2026/3/16 3:12:16

【硬件实战】Mellanox ConnectX-6网卡驱动编译与RDMA性能调优指南

1. ConnectX-6网卡与国产化操作系统的适配挑战 第一次在国产化操作系统上部署Mellanox ConnectX-6网卡时,我遇到了驱动不兼容的棘手问题。这其实是个典型场景——当高性能硬件遇上非主流操作系统,官方预编译驱动往往水土不服。ConnectX-6作为当前最先进的…...

编程日记 2026/3/16 3:12:16

从零搭建Vanna AI本地服务并实现HTTP接口调用

1. 环境准备与基础配置 在开始搭建Vanna AI本地服务之前,我们需要先准备好开发环境。我推荐使用Python 3.10或更高版本,因为这些版本对AI相关库的支持更好。如果你还没有安装Python,可以直接从官网下载最新版本。 安装完Python后,…...

编程日记 2026/3/16 3:12:16

Qwen-Audio在嵌入式设备上的优化:STM32平台部署实践

Qwen-Audio在嵌入式设备上的优化:STM32平台部署实践 1. 引言 想象一下,一个能够听懂你说话的智能家居设备,不需要连接云端,不需要昂贵的处理器,只需要一个小小的STM32芯片就能实现语音交互。这听起来像是科幻电影里的…...

编程日记 2026/3/16 3:10:16

彻底解决GTNH语言障碍:全流程本地化配置与高阶优化指南

彻底解决GTNH语言障碍:全流程本地化配置与高阶优化指南 【免费下载链接】Translation-of-GTNH GTNH整合包的汉化 项目地址: https://gitcode.com/gh_mirrors/tr/Translation-of-GTNH 一、诊断GTNH语言痛点:从技术探索到体验瓶颈 当你在精密的合成…...

编程日记 2026/3/16 3:10:16

Spherical Harmonics实战指南:用球谐函数搞定3D光照渲染(附Python代码)

Spherical Harmonics实战指南:用球谐函数搞定3D光照渲染(附Python代码) 在3D图形渲染的世界里,光照计算一直是性能优化的主战场。当场景中的动态光源数量激增时,传统的光照模型很快就会成为性能瓶颈。而Spherical Harm…...

编程日记 2026/3/16 3:10:16

CASS3D三维模型修图秘籍:7个高频使用但容易被忽略的实用功能(附村庄规划案例)

CASS3D三维模型修图实战:7个被低估的高效功能解析 在村庄规划项目中,三维模型修图往往面临建筑结构复杂、细节处理繁琐的挑战。许多CASS3D用户熟练掌握了基础操作,却对软件中那些能显著提升效率的进阶功能视而不见。本文将深入剖析7个高频使用…...

编程日记 2026/3/16 3:10:15

Funmangic[特殊字符]百度智能云:在3D互动游戏里,让AI陪你演一场不散场的戏

在生成式AI技术高速迭代的当下,视频大模型已能提供近乎完美的视觉效果。但再震撼的视觉奇观,本质上依然是单向输出的「被动观看」,用户只能「旁观」,无法像掉进兔子洞的爱丽丝那样直接「入戏」,身临其境地改变幻想世界…...

编程日记 2026/3/16 3:10:13

实战指南,在快马平台用ai生成代码直接构建完整可部署的任务管理应用

最近在尝试用AI辅助开发一个完整的任务管理Web应用,正好在InsCode(快马)平台上实践了一轮。这个平台最吸引我的地方在于,它把AI生成代码、在线编辑、实时预览和部署上线这些环节都打通了,特别适合想快速验证想法或者学习全栈开发的朋友。下面…...

编程日记 2026/3/16 3:08:12

FUTURE POLICE语音解构实战:MySQL数据库存储与数据分析教程

FUTURE POLICE语音解构实战:MySQL数据库存储与数据分析教程 想象一下,你刚刚用FUTURE POLICE处理完一场两小时的团队会议录音。系统精准地识别出了每个人的发言,生成了毫秒级对齐的字幕文件。但当你想要回顾上周关于“项目风险”的讨论&…...

编程日记 2026/3/16 3:08:12

JoyCon-Driver:重新定义Switch手柄的跨平台控制能力

JoyCon-Driver:重新定义Switch手柄的跨平台控制能力 【免费下载链接】JoyCon-Driver A vJoy feeder for the Nintendo Switch JoyCons and Pro Controller 项目地址: https://gitcode.com/gh_mirrors/jo/JoyCon-Driver 一、价值定位:破解手柄跨平…...

编程日记 2026/3/16 3:08:12

Cosmos-Reason1-7B快速部署:Ansible自动化脚本一键安装全栈环境

Cosmos-Reason1-7B快速部署:Ansible自动化脚本一键安装全栈环境 1. 项目概述 Cosmos-Reason1-7B是NVIDIA开源的多模态物理推理视觉语言模型(VLM),具有7B参数规模。作为Cosmos世界基础模型平台的核心组件,它专注于物理理解与思维链(CoT)推理…...

编程日记 2026/3/16 3:08:12

CLIP ViT-H-14图像特征提取服务效果验证:COCO、ImageNet子集准确率实测

CLIP ViT-H-14图像特征提取服务效果验证:COCO、ImageNet子集准确率实测 1. 服务概述 CLIP ViT-H-14图像特征提取服务是基于CLIP ViT-H-14(laion2B-s32B-b79K)模型构建的实用工具,提供RESTful API和Web界面两种访问方式。该服务能够将输入的图像转换为1…...

编程日记 2026/3/16 3:08:11

Local SDXL-Turbo创意设计实战:AI辅助PS插件开发

Local SDXL-Turbo创意设计实战:AI辅助PS插件开发 1. 项目背景与价值 作为一名设计师,你是否经常遇到这样的场景:客户急着要一张海报,你却卡在背景设计上;或者想要尝试不同风格效果,但手动调整太费时间。传…...

编程日记 2026/3/16 3:06:11

图解DGL异构图卷积:从数据构造到HeteroGraphConv参数详解

图解DGL异构图卷积:从数据构造到HeteroGraphConv参数详解 在现实世界中,数据往往呈现出复杂的异构特性——社交网络中用户、商品、商家等实体类型各异,它们之间的关系也各不相同。这正是异构图(Heterogeneous Graph)大…...

编程日记 2026/3/16 3:06:11

SecGPT-14B行业落地:中小企业漏洞分析自动化与修复建议生成

SecGPT-14B行业落地:中小企业漏洞分析自动化与修复建议生成 1. 引言:网络安全的新助手 在数字化时代,中小企业面临的网络安全挑战日益严峻。传统安全方案往往需要专业团队和昂贵设备,让资源有限的中小企业望而却步。SecGPT-14B的…...

编程日记 2026/3/16 3:06:11

手把手教你用UNetFormer实现遥感图像分割:从环境配置到模型训练全流程

手把手教你用UNetFormer实现遥感图像分割:从环境配置到模型训练全流程 遥感图像分割是计算机视觉领域的重要应用方向,尤其在城市规划、灾害监测和农业评估等领域发挥着关键作用。近年来,Transformer架构在视觉任务中展现出强大的全局建模能力…...

编程日记 2026/3/16 3:06:11

DLSSTweaks:重新定义DLSS体验的深度定制工具

DLSSTweaks:重新定义DLSS体验的深度定制工具 【免费下载链接】DLSSTweaks Tweak DLL for NVIDIA DLSS, allows forcing DLAA on DLSS-supported titles, tweaking scaling ratios & DLSS 3.1 presets, and overriding DLSS versions without overwriting game f…...

编程日记 2026/3/16 3:06:11

效率翻倍!用MiniCPM-V-2_6快速提取图片文字信息,亲测好用

效率翻倍!用MiniCPM-V-2_6快速提取图片文字信息,亲测好用 1. 为什么你需要这个工具 在日常工作和学习中,我们经常会遇到需要从图片中提取文字的场景。无论是扫描的文档、会议白板照片,还是手机拍摄的书籍页面,手动输…...

编程日记 2026/3/16 3:04:11

Windows环境下Cesium Terrain Builder的编译与部署实战(VS2015)

1. 为什么需要Cesium Terrain Builder? 在三维地理可视化领域,地形数据的处理一直是个技术难点。Cesium作为当前最流行的Web三维地球引擎,对地形数据的支持非常完善。但原始DEM数据往往体积庞大,直接使用会导致网络传输压力大、加…...

编程日记 2026/3/16 3:04:11

B站评论智能分析与监控工具:从数据采集到精准响应的全流程指南

B站评论智能分析与监控工具:从数据采集到精准响应的全流程指南 【免费下载链接】bilibili-comment-checker B站评论区自动标注成分油猴脚本,主要为原神玩家识别 项目地址: https://gitcode.com/gh_mirrors/bi/bilibili-comment-checker 在当今内容…...

编程日记 2026/3/16 3:04:11

红灯笼声卡:基于Ai8051U的免驱USB音频嵌入式设计

1. 项目概述“红灯笼声卡”是一个以传统中式文化符号为外形载体、以嵌入式音频处理为核心功能的硬件实践项目。其物理形态采用标准红灯笼轮廓——上窄下宽的椭球形壳体结构,PCB板据此定制异形板框,整体尺寸约Φ80mm H95mm,兼顾视觉识别性与桌…...

编程日记 2026/3/16 3:04:10

AA中大学校排课管理信息系统设计毕业论文

目录摘要引言系统需求分析系统设计系统实现系统测试总结与展望参考文献附录(可选)项目技术支持源码LW获取详细视频演示 :文章底部获取博主联系方式!同行可合作摘要 简要介绍论文的研究背景、目的、方法、主要内容和结论&#xff…...

编程日记 2026/3/16 3:04:10

避坑指南:LiveCharts在WPF中的5个常见问题及解决方案(含中文乱码修复)

WPF图表开发实战:LiveCharts高频问题深度解析与优化方案 在WPF应用开发中,数据可视化是提升用户体验的关键环节。LiveCharts作为一款功能强大的跨平台图表库,凭借其灵活的配置和丰富的交互特性,已成为.NET开发者实现复杂数据展示的…...

编程日记 2026/3/16 3:02:10

RK3588 Linux下Camera偏绿问题排查:从3A模块到ISP配置的完整解决方案

RK3588 Linux下Camera偏色问题深度解析:从硬件链路到算法调优的全链路解决方案 当你在RK3588平台上调试Camera模块时,突然发现画面整体呈现不自然的绿色偏色,这种问题往往会让开发者陷入复杂的排查过程。不同于简单的参数调整,这类…...

编程日记 2026/3/16 3:02:10