HackMD
WINDOWS EVENT LOG
Khái niệm
Windows event log là một bản ghi chi tiết và thời gian của hệ thống, bảo mật và thông báo ứng dụng được lưu trữ bởi hệ điều hành Windows mà admin sử dụng để chẩn đoán các vấn đề hệ thống và dự đoán các vấn đề trong tương lai.
Nói nôm na thì đây là nơi mà những hoạt động trên máy tính được ghi chép lại, ví dụ như ai đăng nhập vào máy, đăng nhập thời gian nào, đang chạy tiến trình gì, kết nối đi đâu,…đều được lưu lại.
Nội dung chi tiết
1. Vị trí:
Event Log của Windows Event log được chuyển sang định dạng XML và với phần mở rộng .evtx và lưu trữ ở thư mục mặc định tại đường dẫn %SystemRoot%\System32\winevt\logs
Ngoài ra còn xem được trên Registry Editor
Hay Event Viewers cũng được, để bật trình Event Viewer bạn có thể vào RUN gõ keyword "eventvwr"
2.Các loại log trong event log
Application Log: Ghi lại những sự kiện sinh ra bởi ứng dụng. Ví dụ: Lỗi khi khởi động ứng dụng.
Security Log: Ghi lại các sự kiện dựa trên các tiêu chí trong local hay global group policies. Nó ghi lại thông tin về kiểm soát truy cập chẳng hạn như các lần login fail, folder access.
System Log: Các sự kiện được ghi lại bởi hệ điều hành hoặc các thành phần của nó, chẳng hạn như lỗi dịch vụ không thể khởi động trong quá trình khởi động.
Setup: Nó xác định các bản cập nhật bảo mật Windows, các bản vá lỗi và các hotfix đã được thêm vào hệ thống.
Forwarded Events: log này là một phần mới, rất cần thiết, log được gửi từ các hệ thống khác về 1 hệ thống tạm gọi là hệ thống “thu thập” sẽ xuất hiện trong Forwarded Events log của hệ thống đó. Windows Audit Collection Service chịu trách nhiệm thu thập và chuyển tiếp log.
Applications and Services: bao gồm tất cả các log “custom” mới được giới thiệu trong Win2008. Phần lớn log được tìm thấy trong thư mục Microsoft trong Event Viewer.
3.Các trường trong event log
4.Các loại event trong event log
Có năm loại event có thể được ghi lại. Mỗi event phải thuộc một loại nào đó trong 5 loại này và mỗi loại sẽ có một biểu tượng khác nhau. VD như hình dưới:
- Thông tin (Information): Các thông tin về các sự kiện thông thường hoặc các hoạt động bình thường trong hệ thống.
- Cảnh báo (Warning): Các sự kiện có thể là dấu hiệu của vấn đề tiềm ẩn hoặc cảnh báo người quản trị hệ thống nên xem xét.
- Lỗi (Error): Các sự kiện xảy ra khi hệ thống gặp phải vấn đề hoặc lỗi trong quá trình hoạt động.
- Sự kiện mật (Audit Success/Failure): Các sự kiện liên quan đến kiểm tra và ghi lại các hoạt động quản lý bảo mật hoặc thất bại trong hệ thống.
5.Một số log thường gặp liên quan đến Event ID
- Event liên quan đến quản lý tài khoản: là các event lưu lại khi tài khoản được tạo, chỉnh sửa.
- Event đăng nhập, đăng xuất: sinh ra khi có thao tác đăng nhập hay đăng xuất tài khoản.
- Event về Scheduled Task: các event liên quan đến lập lịch.
- Event về quản lý chính sách (policy audit): sinh ra khi các thay đổi policy trên máy tính.
Event ID liên quan về policy có ID là 1102 và 4719. - Event về các windows service: sinh ra khi liên quan các dịch vụ chạy trên windows, mặc định không được enable, muốn cấu hình phải vào GPO cập nhật theo đường dẫn sau
Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies > System > Audit Security System Extension
Nếu OS là Windows 10 và Server 2016/2019 thì Event ID là 4697 ở mục Security Event Log.
- Event về LAN, Wireless: sinh ra khi liên quan đến các kết nối mạng.
- Event về tiến trình (process audit): liên quan các tiến trình trên windows. Mặc định log này không được bật, để cấu hình phải vào chỉnh trong Group Policy theo dường dẫn sau
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy -> Audit process tracking.
- Event về Windows Filtering Platform (WFP): thường gặp khi có ứng dụng chạy trên máy bị block/accept như firewall.
- Event về thực thi chương trình (execute program): một số event thường gặp khi điều tra về các tiến trình lạ được thực thi liên quan đến các action của Windows Defender.
Chi Tiết Một Số Logon Type Quan Trọng
Logon Type 2 (Interactive):
Khi người dùng đăng nhập trực tiếp tại máy tính (ví dụ: nhập mật khẩu).
Xuất hiện khi bạn ngồi trước máy và đăng nhập thông thường.
Logon Type 3 (Network):
Được ghi lại khi kết nối qua mạng (như chia sẻ file hoặc in qua SMB).
Ví dụ: khi bạn truy cập thư mục được chia sẻ trên máy khác.
Logon Type 7 (Unlock):
Khi bạn mở khóa màn hình bị khóa bằng mật khẩu hoặc mã PIN.
Logon Type 10 (RemoteInteractive):
Sử dụng khi kết nối từ xa qua Remote Desktop Protocol (RDP).
Phổ biến trong môi trường quản trị mạng.
Logon Type 11 (CachedInteractive):
Khi người dùng đăng nhập bằng thông tin xác thực được lưu tạm (cache), thường xảy ra khi không có kết nối tới domain controller.
SYSMON
Khái niệm
System monitor (Sysmon) là một công cụ của Microsoft Sysinternals dùng để giám sát và ghi lại các hoạt động của hệ thống Windows vào Windows event log. Sysmon giúp theo dõi các hoạt động như tạo tiến trình, kết nối mạng, thay đổi tệp tin, và các sự kiện liên quan đến registry.
Chức năng của Sysmon bao gồm:
- Ghi lại việc tạo tiến trình với dòng lệnh đầy đủ và hàm băm của tệp tiến trình.
- Sử dụng nhiều hàm băm (SHA1, MD5, SHA256, IMPHASH) cùng lúc.
- Bao gồm GUID tiến trình và phiên để liên kết các sự kiện.
- Ghi lại việc tải trình điều khiển/DLL với chữ ký và hàm băm.
- Ghi lại việc mở đọc thô các đĩa và phân vùng.
- Tùy chọn ghi lại kết nối mạng với thông tin chi tiết.
- Phát hiện thay đổi thời gian tạo tệp để phát hiện phần mềm độc hại.
- Tự động tải lại cấu hình nếu thay đổi trong registry.
- Lọc rules để bao gồm hoặc loại trừ các sự kiện.
- Ghi lại sự kiện từ sớm trong quá trình khởi động.
Các ID tương ứng với từng sự kiện
Dưới đây là danh sách tên các Event ID của Sysmon cùng với một mô tả ngắn gọn:
| Event ID | Tên | Mô Tả |
|---|---|---|
| 1 | Process creation | Tạo tiến trình mới |
| 2 | File creation time | Tiến trình thay đổi thời gian tạo file |
| 3 | Network connection | Kết nối mạng TCP/UDP |
| 4 | Sysmon service state changed | Trạng thái dịch vụ Sysmon thay đổi |
| 5 | Process terminated | Tiến trình bị kết thúc |
| 6 | Driver loaded | Driver được tải vào hệ thống |
| 7 | Image loaded | Module (DLL) được nạp vào tiến trình |
| 8 | CreateRemoteThread | Tạo thread từ tiến trình này sang tiến trình khác |
| 9 | RawAccessRead | Đọc dữ liệu thô từ ổ đĩa |
| 10 | ProcessAccess | Truy cập tiến trình khác |
| 11 | FileCreate | Tạo hoặc ghi đè file |
| 12 | RegistryEvent (Create and delete) | Tạo hoặc xóa registry key/value |
| 13 | RegistryEvent (Value Set) | Sửa đổi value registry |
| 14 | RegistryEvent (Rename) | Đổi tên registry key hoặc value |
| 15 | FileCreateStreamHash | Tạo named file stream |
| 16 | ServiceConfigurationChange | Thay đổi cấu hình Sysmon |
| 17 | PipeEvent (Pipe Created) | Tạo named pipe |
| 18 | PipeEvent (Pipe Connected) | Kết nối named pipe |
| 19 | WmiEvent (Filter) | Phát hiện hoạt động WMI Event Filter |
| 20 | WmiEvent (Consumer) | Phát hiện hoạt động WMI Event Consumer |
| 21 | WmiEvent (ConsumerToFilter) | Liên kết giữa WMI Consumer và Filter |
| 22 | DNSEvent (DNS query) | Thực hiện truy vấn DNS |
| 23 | FileDelete (archived) | Tệp bị xóa (lưu bản sao) |
| 24 | ClipboardChange | Nội dung clipboard thay đổi |
| 25 | ProcessTampering (Process image change) | Phát hiện kỹ thuật che giấu tiến trình (process tampering) |
| 26 | FileDeleteDetected (logged) | Tệp bị xóa (chỉ ghi log, không lưu bản sao) |
| 27 | FileBlockExecutable | Chặn tạo file thực thi |
| 28 | FileBlockShredding | Chặn xóa file bằng công cụ hủy dữ liệu (shredding tools) |
| 29 | FileExecutableDetected | Phát hiện file thực thi mới |
| 255 | Error | Lỗi xảy ra trong Sysmon |
LINUX
Bảng tổng hợp các file log quan trọng trên Linux
| File Log | Mô tả | Ứng dụng chính |
|---|---|---|
| /var/log/messages | Chứa nhật ký hoạt động hệ thống (mail, cron, daemon, kernel, auth…). | Kiểm tra lỗi và thông báo hệ thống. |
| /var/log/syslog | (Dùng trên Debian/Ubuntu) Ghi lại sự kiện hệ thống chung, tương tự /var/log/messages. |
Theo dõi sự kiện hệ thống. |
| /var/log/auth.log | Lưu thông tin xác thực (Debian/Ubuntu). | Xác thực và bảo mật. |
| /var/log/secure | Tương tự /var/log/auth.log nhưng dùng trên RedHat/CentOS. |
Đăng nhập SSH, sudo. |
| /var/log/boot.log | Ghi lại thông tin liên quan đến khởi động hệ thống. | Lỗi khởi động và tắt máy đột ngột. |
| /var/log/dmesg | Ghi nhận thông tin từ kernel về thiết bị phần cứng và trình điều khiển. | Lỗi và sự cố phần cứng. |
| /var/log/kern.log | Lưu thông tin từ kernel, bao gồm lỗi và cảnh báo. | Khắc phục lỗi kernel. |
| /var/log/faillog | Ghi nhận thông tin đăng nhập thất bại. | Vi phạm bảo mật. |
| /var/log/cron | Lưu nhật ký của các công việc cron (chạy theo lịch trình). | Theo dõi và kiểm tra cron. |
| /var/log/yum.log | Ghi lại thông tin cài đặt gói bằng yum. |
Cài đặt và lỗi phần mềm. |
| /var/log/maillog | Ghi nhật ký từ các dịch vụ email (Postfix, SMTP…). | Gửi/nhận email, chống spam. |
| /var/log/httpd | Gồm error_log và access_log của Apache server. |
Lỗi máy chủ web và truy cập HTTP. |
| /var/log/mysqld.log | Ghi nhật ký từ MySQL (hoặc /var/log/mysql.log). |
Lỗi và truy vấn MySQL. |
Dưới đây là bảng phân loại các file log trong Linux theo bốn loại: System Logs, Event Logs, Application Logs, và Service Logs.
| Loại Log | File Log | Mô Tả |
|---|---|---|
| System Logs | /var/log/messages |
Ghi nhận nhật ký hoạt động hệ thống, bao gồm thông tin về mail, cron, daemon, và kernel. |
/var/log/syslog |
Tương tự như /var/log/messages, chứa thông tin hệ thống cho các bản phân phối Debian. |
|
/var/log/boot.log |
Lưu trữ thông tin liên quan đến quá trình khởi động và các thông báo trong quá trình khởi động. | |
/var/log/dmesg |
Ghi nhận thông tin của kernel về thiết bị phần cứng và trạng thái của chúng khi khởi động. | |
/var/log/kern.log |
Chứa các thông tin liên quan đến kernel, giúp khắc phục các lỗi và cảnh báo liên quan. | |
| Event Logs | /var/log/auth.log |
Ghi nhận thông tin xác thực và các sự kiện liên quan đến ủy quyền người dùng. |
/var/log/secure |
Tương tự như /var/log/auth.log, lưu trữ thông tin xác thực trên hệ thống RedHat và CentOS. |
|
/var/log/faillog |
Chứa thông tin về các lần đăng nhập thất bại, giúp theo dõi các vi phạm bảo mật. | |
| Application Logs | /var/log/cron |
Ghi nhận tất cả các thông tin liên quan đến các tác vụ cron. |
/var/log/yum.log |
Lưu trữ thông tin về các gói được cài đặt bằng yum, giúp theo dõi cài đặt phần mềm. | |
| Service Logs | /var/log/maillog |
Ghi nhận thông tin từ máy chủ mail, bao gồm tất cả các email đã gửi và nhận. |
/var/log/httpd |
Chứa file error_log và access_log của Apache, theo dõi lỗi và các yêu cầu HTTP. |
|
/var/log/mysqld.log |
Ghi lại thông tin về MySQL, bao gồm thông báo khởi động, dừng và kết nối máy khách. |
Hy vọng bảng này sẽ hữu ích cho bạn trong việc theo dõi và quản lý các file log trong hệ thống Linux!
- Cách xem file log
Để xem file log chúng ta có thể sử dụng một số phương pháp phổ biến sau:
vi: Chúng ta có thể sử dụng trình soạn thảo vi để kiểm tra file log.
tail: Nếu chúng ta muốn xem nội dung của file log theo thời gian thực ứng dụng đang ghi vào đó, hãy sử dụng tail -f.
grep: Nếu chúng ta biết chính xác những gì đang tìm kiếm trong file log hãy sử dụng lệnh grep để grep một mẫu.
Ngoài ra còn nhiều phương pháp khác để kiểm tra file log.
Trình soạn thảo vi có hai loại tìm kiếm: chuỗi và ký tự. Để tìm kiếm chuỗi, lệnh / và ? được sử dụng.
Lệnh /pattern tìm kiếm theo chiều thuận về phía trước trong một file.
Lệnh ?pattern tìm kiếm theo chiều ngược lại về phía sau trong một file.
Lệnh n và N lặp lại lệnh tìm trước theo cùng cách tìm hoặc theo hướng ngược lại.
AUDITD
Khái niệm:
Auditd là một dịch vụ chạy ngầm (audit deamon) chịu trách nhiệm ghi lại tất cả hoạt động của hệ thống, người dùng
