有時項目中可能會用到一些日志的配置信息。本文簡單介紹一下安全日志的相關信息獲取。
首先,需要獲取日志類別,用來進行之后本類別的日志詳細信息查詢:
wevtutil el
其中security即為安全日志類別
wevtutil 命令參數如下
| 命令 | 意義 | 注釋 |
|---|---|---|
| el | enum-logs | 列出日志名稱 |
| gl | get-log | 獲取日志配置信息 |
| sl | set-log | 修改日志配置 |
| ep | enum-publishers | 列出事件發布者 |
| gp | get-publisher | 獲取發布者配置信息 |
| im | install-manifest | 從清單中安裝事件發布者和日志 |
| um | uninstall-manifest | 從清單中卸載事件發布者和日志 |
| qe | query-events | 從日志或日志文件中查詢事件 |
| gli | get-log-info | 獲取日志狀態信息 |
| epl | export-log | 導出日志 |
| al | archive-log | 存檔導出的日志 |
| cl | clear-log | 清除日志 |
導出 安全 日志的命令為:
wevtutil epl security d:\security.evtx
該命令將安全日志信息導出到d盤下的security.evtx文件
查詢 安全 日志的配置信息命令如下:
wevtutil gl security
結果(包含但不是全部) 屬性如下:
-name ------ 日志類別
enabled ------ 是否禁用
logging:
logFileName ------ 日志文件保存路徑
retention ------ 是否保留
autoBackup ------是否自動備份
maxSize ------ 本類別日志最大容量
windows上面覆蓋方式有三種:
按需要覆蓋------ retention:false;autoBackup:false
滿時存檔,不覆蓋------ retention:true;autoBackup:true
不覆蓋,手動清除------ retention:true;autoBackup:false
作者:東方欲曉_莫道君行早
鏈接:https://www.jianshu.com/p/b7385b37c3d8
來源:簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。
參考:windows攻防滲透:
https://www.secpulse.com/archives/75470.html