Logy udalosti ve Windows

IDS, detekce útoků, analýza a vyhodnocení systémových událostí a logů v lokálních bezdrátových a metalických sítích
Odpovědět
Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

16 kvě 2007, 15:01

Potreboval bych poradit, jak se da smazat urcita udalost z logu udalosti, konktretne ze souboru SecEvent.evt
Nejprijatelnejsi reseni by bylo pomoci nejakeho scriptu, kde by se zadalo jen konkretni cislo zaznamu a podle tohoto cisla by byl log vyhledan a smazan. Hledal jsem ruzne utility,ale nic jsem nenasel... tak me napadl napad udelat vlastni utilitku
Jinak posledni dobou se zajimam o logy pomerne dost, mohl bych v mnoha vecech poradit. Mam vytvoreno mnoho scriptu na monitorovani logu. Rad se podelim o sve znalosti s temi, ktere by neco zajimalo.
Vim,ze mazat logy neni spravne, ale nekdy nic jineho nezbyva
Jinak zatim mam zkusennosti jen s monitorovanim. Proto bych byl moc vdecny za kazdou radu!

Uživatelský avatar
wire
Level 8
Příspěvky: 696
Registrován: 15 kvě 2007, 22:44
Bydliště: Praha

16 kvě 2007, 15:36

Kdyz je pristup (lze editovat i vzdalene :) do registry muzes v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog zmenit, kdyz nebude zadouci, vychozi hodnotu na disable (0x4). Nemusi se pak nic umazavat :) Vychozi hodnota je Autostart (0x2)
Ve Fóru používáme diakritiku, než se ptáme čteme nápovědu a pravidla fóra!

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

16 kvě 2007, 15:46

Diky za radu, ale o tehle zmene v registru vim. Ale nemohu to vyuzit, protoze to vyzaduje restart serveru a to nemuzu :( Jedide ze by slo nejak udelat aby se nasledky po zmene tehle konstanty projevily aniz bych musel restartovat server... ale zatim ani netusim jak.

Uživatelský avatar
wi-foo
Level 1
Příspěvky: 33
Registrován: 14 kvě 2007, 10:16

16 kvě 2007, 17:35

No zastavis to stejne tam kde konfigurujes v GUI status sluzby t.z Start/Kontrolni Panel/Servisni sluzby.

V tom seznamu staci najit EventLog servis, klik na radek a z rolety vybrat Vlastnosti (sluzby)
Konfigurace, informace [zavislosti] a moznost servis primo i sestrelit [...]
Obrázek

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

17 kvě 2007, 08:07

Vážím si rady, takhle to jde taky, ale změny se projeví až po restartu :( A ja restartovat server nemuzu. Asi nevite jak by slo prosadit zmenu v systemu aniz bych musel resetovat server? A nebo jak vypnout logovani, aniz bych musel restartovat?

Uživatelský avatar
wi-foo
Level 1
Příspěvky: 33
Registrován: 14 kvě 2007, 10:16

17 kvě 2007, 08:58

Ne v poho moje chyba spatne jsem to chapal..

Sluzba ktera startuje automaticky jako sys a vystup pouziva dalsi sada (nebo je vystup kriticky proces) nejde zastavit za behu. Predpokladal jsem, ze to spusteni je osetreno.

Kdyz spustis by Run eventvwr.msc lze konfigurovat jednotlive logy primo (Prepisovani v pripade potreby, nebo jednou za 7 dni atp.)
Konfigurovat lze i filry v zalozce Filtr. Na karte (ve vlastnostech t.k logu) je uvedena i cesta. (napr. C:\WINDOWS\system32\config\AppEvent.Evt)

Kdyz osetreno neni, mrkni na Resource Kit, Sysinternals resp. PsTools. Ta util jde poruznu konfigurovat (a aplikovat za pomoci naplanovane ulohy - Scheduled Tasks) nebo primo by command line. Log nejen smaze ale to co maze dokaze ulozit do extra souboru. Interval mazani lze samo konfigurovat (a mnoho dalsiho: )

psloglist "zalozka eventlogu" -c -s >dump.txt - co je vlastne odpoved na puvodni dotaz.. :)

To jak budou logy roztridene a mazani sprocesovane zalezi jenom na fantazii..
Obrázek

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

17 kvě 2007, 09:46

Diky za radu, pomoci te utilitky dokazu smazat konkretni události z SecEvent.Evt ?? Nemuzu smazat vsechny logy, potrebuju smazat jen posledni udalosti, v kterych jsou zaznamy o me aktivite na serveru, a nebo prave zastavit logovani,aby se zadne udalosti nezapsaly.... smazani celeho SecEvent.Evt je velmi jednoduche, na to nepotrebuji utility ... v prohlizeci udalosti kliknu pravym tl na security a dam smazat vsechny udalosti a on se me zepta na zalohu a pak to smaze. bez jakyhokoli restartu. Ale kdyby zmizly vsechny logy, tak by to bylo asi malo napadny :D A jen aby ste si nemysleli, tak ja zadnej bordel na serverech nedelam, jen musim delat opatreni proti adminum, co by tam mohli delat nedovoleny veci... a pokud si zjistej z logu, ze sem tam udal to a to, tak si daj bacha a nikdy je nechytnu. A kdyz uvidej prazdej SecEvent.Evt tak to bude jako pest na oko :)

Uživatelský avatar
wi-foo
Level 1
Příspěvky: 33
Registrován: 14 kvě 2007, 10:16

17 kvě 2007, 10:10

Zalezi co ta App umozni za konfiguraci.. Nejsem win$ User t.z testovat musis sam. Takove veci se ale delaji hned na zacatku. Ted vsechno co zmenis nebo pridas bude napadne. Naplanovana uloha nebo zmena data posledni upravy logu kor :) Manipulace s logem je take "signalem".. ne jenom smazani celeho obsahu. Kdyz chces mit prehled nepoustej na konto 5 lidi.. a uz vubec ne na Admina. Pravo administrace (omezene o vytvareni konta, o pristup k duplicitnimu logu, o pristup k logu usera X atd atd.) muze mit nadeleno kazdy extra. Kdyz to nerozdelis na zacatku kazda aktivita bude pak podezrela :)

Ps: Co testnout NTRK Auditpol? Pred ukonem :) c:\> auditpol /disable v pripade, ze to k necemu bude + pouzit linux grep, locate (je i verze pro win$) a zretezit premazani konkretnich * do skriptu?

Unix like locate xxxxxxxx | $(sed 's/\(.*\)/rm -r \1\n/')
Obrázek

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

17 kvě 2007, 10:37

na tom serveru se kazdou vterinu zapise asi 10 udalosti a 50MB logu se prepise za den, takze kdyz tam bude nekde chybet minuta a nebo 2 zaznamu, tak to nikdo nenajde! Kazdej v tom hleda jen pomoci filtru konkretni udalosti. ale jde o to, ze nase firma jen dohlizi na spravny chod te site... jinak o tu sit se staraji jini admini, my jen kontrolujem jestli delaji vse co maji. Ja uz sem prave prohledal hromady stranek na google abych prisel jak to bez restartu pozastavit a nebo jak smazat jen urcite udalosi a nic jsem nenasel :( Microsoft uvadi, ze jednotlivy udalosti proste mazat nejdou. Ale vsechno jde, kdyz se chce :) ale c:\>auditpol /disable mi nejak nejde :(

Uživatelský avatar
wi-foo
Level 1
Příspěvky: 33
Registrován: 14 kvě 2007, 10:16

17 kvě 2007, 10:45

No je to rootkit [resourcekit] :) Aspon vis, ze tam jeste neni :)

Ps: Stejne tak elsave a pod. "hracky".. Intstalovat pak DOS attrib +h a az pak spoustet,
Obrázek

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

17 kvě 2007, 12:31

Ach jo, ten windows me uz pekne stve :) po uspesnem c:\> auditpol /disable se mi krasne zobrazi jak je vsechno auditovani vypnuto, i kdyz se podivam do nastaveni Zasady zabezpeceni radice domeny, tak taky vidim jak je to vse vypnute, ale kdyz se podivam do prohlizece udalosti, tak vydim jak se zapisuji logy dal :( ... vypada to, ze je vse vyple, ale ve skutecnosti vsechno bezi dal :( Jediny co to opravdu dokazalo vypnout je to zmenit v registrech, a nebo zakazat spustit sluzbu, ale oboji vyzaduje restart :(

Uživatelský avatar
wi-foo
Level 1
Příspěvky: 33
Registrován: 14 kvě 2007, 10:16

17 kvě 2007, 18:20

No jeden restart o pulnoci to vyresi.. Kdyz to nastavis na spusteni na pozadani bude pak moznost zastavit to.. Porad je tu moznost mazat to rucne.. nebo doprogramovat logovani, zalozit nove konto a na nem zakaz logovani usera..
Obrázek

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

18 kvě 2007, 07:24

No, pomoci EVENTCREATE si muzu vytvorit vlastni udalosti a potom je pridat do logů, ale zle to jen do aplikačního protokolu a systémovýho, protokol zabezpečení EVENTCREATE nepodporuje. Na jednu stranu by byl asi Microsoft docela hloupej kdyby podporoval :) A jak myslíš to mazání ručně? Ja už jsem to psal asi 2x čeho bych potřeboval dosáhnout. A to je: Abych mohl logovani bez restartu, tak asi na 2 minuty pozastavit a nebo abych mohl treba poslednich 20 události v protokolu zabezpečení nějak odmazat. Zastavení můžu provést tou změnou v registru, ale to vyžaduje ten blbej restart. Nahodou asi nevíš o nějakém způsobu, jak prosadit tu změnu, aniž bych musel resetovat? Po tomhle jsem taky koukal, ale nic jsem nenašel :( Jo a když nastavím ve službě Protokol událostí Typ spuštění na ručne a potom resetuju, aby se projevily změny, tak stejně veškerý ovládací prvky služby jsou zašedlý a nedostupný :(

Uživatelský avatar
wi-foo
Level 1
Příspěvky: 33
Registrován: 14 kvě 2007, 10:16

18 kvě 2007, 16:23

Tak jsem to omrknul. Nelze to zastavit (po rekonfiguraci a restartu snad) Kdyz to schodis nejakou utilitou stejne se to zrestartuje automaticky. T.z dle meho nazoru neni cesta bez restartu.
Obrázek

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

21 kvě 2007, 07:37

To znamena, abych doufal, že je nějaka cesty, kde můžu těch pár konkretních událostí smazat :) Ale obavam se, že bud to pujde hodně těžce a nebo vůbec.

Uživatelský avatar
Raty_cz
Level 0
Příspěvky: 11
Registrován: 16 kvě 2007, 14:08

23 kvě 2007, 07:32

Tak jsem prisel na dalsi zajimavy ukaz ve windows. Kdyz si nastavim auditovani urcitych udalosti a pockam az se nastaveni projevi (vetsinou po restartu) tak se v pohode nove udalosti zapisuji do logu. A kdyz si rozmyslim, ze uz zas urcity udalosti zapisovat nechci, a vypnu auditování těch událostí. Restartuju ... a ono nic ... v nastaveni auditu, je to vyple, ale události se do logu zapisuji pořád :( Jen doufam, ze to neni dělane tak, že kdyz se to jednou nastavim, tak uz neni cesty zpet.

Uživatelský avatar
wire
Level 8
Příspěvky: 696
Registrován: 15 kvě 2007, 22:44
Bydliště: Praha

25 kvě 2007, 16:36

To ne.. vypne se to.. Kdyz to bezi porad je to bug.. nic vic. Jsou i vic spolehlive aplikace nez integr. no spravidla se za ne plati..
Ve Fóru používáme diakritiku, než se ptáme čteme nápovědu a pravidla fóra!

Uživatelský avatar
Cheetah
Level 0
Příspěvky: 17
Registrován: 22 zář 2009, 09:48
Kontaktovat uživatele:

14 říj 2009, 07:22

Odmazavat zaznam v eventvwr jsem videl jenom jednou. Je to dost velkej problem, Windows i kdyz logujou mizerne, tak se nedaji odstrihnout od logovani, ta sluzba je posledni, co se ukoncuje a prvni, co startuje. Je mozne po nejakou dobu zastavit logovani (velmi slozitym zpusobem) a pak ho zase pustit. Ale nejlepsi cesta je proste smazat logy cele, kdyz ta nutnost je.
JF

Odpovědět
  • Podobná témata
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Informace
  • Kdo je online

    Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti