鲁达 要想对主机入侵进行有效的日志分析,可以简单地谈谈splunk联合sysmon对windows主机日志的直观分析。
**sysmon**是第三方主机系统的日志插件,可直接从百度下载
**splunk**是一个日志收集分析工具,可通过官网下载
* *先看整体图片* *
# #接下来,我将首先安装这两个工具# #
* *如何安装sysmon * *
从internet下载并打开sysmon安装包,使用cmd在当前目录中输入In以完成安装(如果以管理员身份运行)。
此时,您可以在命令行中输入com,将其添加到事件查看器中。
选择Sysmon可查看本地操作的所有日志。
但是日志看起来冗余而且不明朗,接下来安装splunk,对事件进行筛选分析可视化。
**splunk安装方法**
前往官网下载安装splunk,安装后自动打开splunk,可以看到如下界面
接下来我们需要将其和日志进行关联起来:
将以下内容写入到splunk目录下/etc/system/local中
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = false
renderXml = true
我的版本是7.x.x版本in文件为此目录,其他版本inputs目录可能存在差异,具体可以用everything搜索一下in的具体位置。
说明:由于权限的关系,无法直接修改里头的内容,可在桌面新建好相应文件,添加好内容后,替换掉in文件。
除此之外,还需要安装一个插件:
插件名称叫做:
Splunk "Add-on for MicrosoftSysmon
可去
此地址已下载,或者自行百度
解压出来为TA-microsoft_windows文件夹,放到Splunketcapps目录下即可
这个时候需要重启一下我们的splunk,但是由于是WEB版本,并非直接关闭打开可重启,需要通过以下方式方可重启splunk:
----在cmd命令中打开安装路径下的bin目录
----输入 stop 等待执行完毕,完成关闭splunk
----再敲下 start,等待所有服务开启即重启完毕
这个时候我们就可以搜索我们的日志了
点击:Search&reporting
然后搜索:
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"
即可看到所有事件了
**利用powershell执行后门连接主机**
接下来我们可以尝试用cobaltstrike 来进行生成一个powershell的后门,与服务器建立连接,看看日志监控的情况:
先收成一个powershell的后门文件
前往页面访问后门文件是否正常,
OK,准备就绪,执行powershell后门文件
已成功上线
执行列文件与列进程操作
接下来我们查看splunk日志
Ok,sysmon+splunk联合起来做主机日志分析还是非常强大的~
小伙伴如果还想深入可去查看官方文档使用手册哦。