Windows Event Logs

Trong điều tra số, một trong những vị trí đem đến những thông tin vô cùng hữu ích cho người điều tra là Windows Event Logs.

Windows Event Logs gồm những sự kiện liên quan đến software, hardware, OS, security. Service Windows Event Log chịu trách nhiệm quản lý các sự kiện, nhật ký sự kiện; nó thu thập các sự kiện từ nhiều nguồn khác nhau và lưu trự tập chung tại một thư mục. Các sự kiện này có thể giúp người điều tra biết được chuyện gì đã xảy ra trên hệ thống, chúng xảy ra vào thời gian nào, tham chiếu đến người dùng cụ thể liên quan đến những hành vi đó hay các thông tin của các hệ thống, tài nguyên truy cập từ xa.

Trước khi đi phân tích một cái gì đó chúng ta phải hiểu nó trước, vì vậy phần này mình sẽ trình bày một số đặc điểm của Windows Event Logs.

Windows Event Logs nằm ở đâu?

Ban đầu, ở những phiên bản hệ điều hành cũ (trước Windows Vista) event log sẽ được lưu trữ tập chung tại systemroot%\System32\config ở định dạng nhị phân và với phần mở rộng đuôi .evt.

Nhưng bắt đầu từ Win server 2008 và Windwos Vista thì đã có sự thay đổi về định dạng log và vị trí lưu trữ của chúng. Event log được chuyển sang định dạng XML và với phần mở rộng .evtx và chúng được lưu trữ tại  %systemroot%\System32\winevt\logs.

Vị trí lưu của từng loại log có thể tìm thấy trong Registry:

Chẳng hạn như trong hình trên với các event liên quan đến Application sẽ được lưu trữ trong %systemroot%\System32\winevt\Logs\Application.evtx

Và người quản trị có thể thay đổi được vị trí này bằng cách thay đổi data value của registry key.

Format log

Với Win2008 trở về trước toàn bộ tệp log sẽ được ánh xạ vào bộ nhớ và điều này thực sự là một vấn đề với việc quản lý bộ nhớ, bộ nhớ luôn phải dành một không gian tối đa tới 300MB để cấp phát chỉ cho Event Log và tất nhiên hiệu suất sẽ bị giảm nhất là đối với thời điểm đó khi mà dung lượng bộ nhớ thực sự không lớn. Và đôi khi có thể dẫn đến vấn đề là người dùng sẽ tắt logging đi để nâng cao hiệu suất.

Nhưng với các bản windows OS mới hơn thì điều này đã được khắc phục, service Windows Event Log quản lý các event và event logs (logging events, querying events, subscribing to events, archiving event logs, and managing event metadata). Trong bộ nhớ lúc này chỉ chứa hững header nhỏ với các đoạn mã 64KB nằm trong bộ nhớ và nó thực sự đã giải quyết được vấn đề quản lý bộ nhớ mà không làm giảm hiệu suất.

Định dạng của event log cũng thay đổi với extension là .EVTX và được lưu trữ ở định dạng XML, giúp việc giải mã cấu trúc nhật ký trở nên trực quan hơn và cũng dễ dàng để tạo bộ lọc hỗ trợ việc tìm kiếm. VD với 1 event dưới đây:

Số lượng log đã tăng lên rất nhiều và cũng có các tùy chọn ghi log chi tiết hơn với sự tùy chỉnh của Advanced Audit Policy Configuration.

Event Types

Có năm loại sự kiện có thể được ghi lại. Mỗi sự kiện phải thuộc một loại nào đó trong 5 loại này và mỗi loại sẽ có một t biểu tượng khác nhau. VD như hình dưới:

Bảng sau đây mô tả năm loại sự kiện được sử dụng trong ghi nhật ký sự kiện.

Các loại log

Event log gồm các nhật ký tiêu chuẩn (Security, System và Application) ngoài ra còn có các bản additional logs đã được thêm vào log chuyên biệt (Custom log) chẳng hạn như PowerShell, Task Scheduler,…

Application Log: Ghi lại những sự kiện sinh ra bởi ứng dụng. Ví dụ: Lỗi khi khởi động ứng dụng.

Security Log: Ghi lại các sự kiện dựa trên các tiêu chí trong local hay global group policies. Nó ghi lại thông tin về kiểm soát truy cập chẳng hạn như các lần login fail, folder access.

System Log: Các sự kiện được ghi lại bởi hệ điều hành hoặc các thành phần của nó, chẳng hạn như lỗi dịch vụ không thể khởi động trong quá trình khởi động.

Khi mở bằng Event Viewer bạn có thể thấy ngoài ra còn có một số Logs khác như Setup, Forwarded Events hay cả Applications and Services. Đây là một số loại log mới:

Setup: Nó xác định các bản cập nhật bảo mật Windows, các bản vá lỗi và các hotfix đã được thêm vào hệ thống.

Forwarded Events: log này là một phần mới, rất cần thiết, log được gửi từ các hệ thống khác về 1 hệ thống tạm gọi là hệ thống “thu thập” sẽ xuất hiện trong Forwarded Events log của hệ thống đó. Windows Audit Collection Service chịu trách nhiệm thu thập và chuyển tiếp log.

Applications and Services: bao gồm tất cả các log “custom” mới được giới thiệu trong Win2008. Phần lớn log được tìm thấy trong thư mục Microsoft trong Event Viewer.

Phần trên mình đã trình bày ngắn gọn tổng quan về Windwos Event Log, phần tới mình sẽ phân tích một số loại log thường được chú ý tới trong quá trình điều tra!

By,

T4fi, RE_Team

6.729 lượt xem