Windows 安全日志 SMB/RDP 溯源:3个关键事件ID与5个日志路径实战解析

发布时间:2026/7/13 2:47:42
Windows 安全日志 SMB/RDP 溯源:3个关键事件ID与5个日志路径实战解析 Windows 安全日志 SMB/RDP 溯源3个关键事件ID与5个日志路径实战解析当企业网络遭遇安全事件时Windows 系统的安全日志往往是最重要的取证来源之一。特别是涉及 SMB服务器消息块和 RDP远程桌面协议的日志记录它们能清晰还原攻击者的横向移动路径。本文将深入剖析 3 个关键事件 ID 和 5 个常被忽视的日志存储位置帮助安全团队快速定位入侵痕迹。1. 核心事件ID的三维分析Windows 安全日志中与认证相关的事件 ID 多达数十种但以下三个 ID 在 SMB/RDP 溯源中具有决定性作用1.1 事件ID 4624登录成功这是攻击者成功获取访问权限的铁证。通过解析其日志结构可获取以下关键字段EventData Data NameTargetUserNameAdministrator/Data Data NameTargetDomainNameCORP/Data Data NameLogonType3/Data Data NameIpAddress192.168.1.100/Data Data NameProcessNameC:\Windows\System32\svchost.exe/Data /EventData登录类型(LogonType)的实战意义类型3网络登录通常对应 SMB/NFS 等网络共享访问类型10远程交互RDP 登录的典型特征类型2本地交互控制台直接登录注意高级攻击者会通过传递哈希(PtH)技术使 RDP 登录显示为类型3此时需结合其他日志交叉验证。1.2 事件ID 4625登录失败暴力破解攻击的典型特征其日志包含攻击者IP、尝试的账号等关键信息# 使用PowerShell提取最近24小时的失败登录记录 Get-WinEvent -FilterHashtable { LogNameSecurity ID4625 StartTime(Get-Date).AddHours(-24) } | Select-Object TimeCreated, {nUser;e{$_.Properties[5].Value}}, {nSourceIP;e{$_.Properties[19].Value}}, {nLogonType;e{$_.Properties[10].Value}}暴力破解的特征模式同一IP短时间内高频次失败尝试使用常见用户名列表admin/administrator/guest等登录类型呈现规律性变化如从类型3切换到类型101.3 事件ID 5156网络连接过滤当攻击者通过 SMB 横向移动时Windows 过滤平台会记录网络连接详情字段名描述取证价值Application进程路径确定恶意进程位置SourceAddress源IP攻击源定位DestPort目标端口445(SMB)或3389(RDP)Protocol协议类型6(TCP)或17(UDP)2. 五大日志存储路径的深度挖掘2.1 安全日志主文件默认路径C:\Windows\System32\winevt\Logs\Security.evtx取证技巧使用wevtutil导出被清除的日志wevtutil epl Security C:\backup\security_backup.evtx /q:*[System[(EventID4624 or EventID4625)]]2.2 终端服务专用日志Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational关键事件事件ID 1149RDP 会话断开时的用户注销记录事件ID 21/22会话创建/销毁的精确时间戳2.3 RDP 客户端缓存注册表路径记录历史连接信息HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\每个连接过的服务器会生成子项包含UsernameHint最后使用的用户名CertHash服务器证书指纹用于识别中间人攻击2.4 SMB 客户端诊断日志Microsoft-Windows-SmbClient/Operational关键事件ID306SMB 连接建立308文件操作记录攻击者下载恶意工具时产生2.5 防火墙日志非默认开启C:\Windows\System32\LogFiles\Firewall\pfirewall.log配置方法# 启用防火墙日志记录 Set-NetFirewallProfile -Profile Domain,Public,Private -LogFileName %systemroot%\system32\logfiles\firewall\pfirewall.log -LogMaxSizeKilobytes 4096 -LogAllowed True -LogBlocked True3. 自动化分析工具链3.1 LogParser 实战脚本-- 提取RDP成功登录记录 SELECT TO_LOCALTIME(TimeGenerated) as LoginTime, EXTRACT_TOKEN(Strings, 5, |) as User, EXTRACT_TOKEN(Strings, 18, |) as SourceIP, EXTRACT_TOKEN(Strings, 8, |) as LogonType INTO rdp_success.csv FROM Security.evtx WHERE EventID 4624 AND (LogonType 10 OR LogonType 3)3.2 时间线重建技巧# 使用Python合并多日志源的时间戳 import pandas as pd security_log pd.read_csv(security_4624.csv) rdp_log pd.read_csv(terminal_services.csv) merged_timeline pd.concat([ security_log[[Time, User, IP]], rdp_log[[Time, User, Source]] ]).sort_values(Time) merged_timeline.to_csv(attack_timeline.csv, indexFalse)4. 高级对抗场景处置4.1 日志被清除后的取证当发现Security.evtx被清空时可尝试以下恢复手段卷影副本提取vssadmin list shadows copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\winevt\Logs\Security.evtx C:\forensics\内存分析volatility -f memory.dump --profileWin10x64 evtlogs -D output/4.2 无日志情况下的痕迹追踪通过系统 artifacts 寻找蛛丝马迹Prefetch 文件C:\Windows\Prefetch\RDP*.pfJump ListsC:\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\4.3 企业级监控方案部署 Sysmon 增强日志记录能力!-- 监控RDP/SMB相关进程创建 -- Sysmon EventFiltering RuleGroup nameRDP Activity ProcessCreate onmatchinclude Image conditioncontainsmstsc.exe/Image Image conditioncontainsrdpclip.exe/Image /ProcessCreate /RuleGroup /EventFiltering /Sysmon