Windows日志分析平台LogonTracer

日志分析：

对于Windows事件日志分析，不同的Event ID代表了不同的意义。比如常见的安全事件ID，4624代表登录成功、4625代表登录失败、4634代表用户注销。

一般来说，安全性日志都会有成千上万条，若不能想要分析的时间段，要以人工方式一一查看，那是一件很痛苦的事情。若能采用视觉化图形显示方式进行分析，比如通过excel或者html，再就重点事件排查，才是事半功倍的方法。

LogonTracer介绍

LogonTracer是一个图形化事件日志分析工具，此工具是基于Python所撰写的开源工具，并使用Neo4j作为图形数据库。此工具会将登录事件的主机名称与帐户名称用图形化表示并且对应其关联。

项目地址：https://github.com/JPCERTCC/LogonTracer

LogonTracer安装

# 启动docker（docker安装略）
systemctl start docker
# 拉镜像
docker pull jpcertcc/docker-logontracer
# 运行镜像（其中LTHOSTNAME值对应修改为本地IP）
docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 -e LTHOSTNAME=192.168.1.251 jpcertcc/docker-logontracer
# 连接Neo4j数据库
浏览器访问：http://[本地IP地址]:7474
默认账号neo4j/password，接着要求修改密码，输入新密码即可。
# 如果提示密码错误，可以进容器里修改neo4j.conf配置文件。该文件在conf目录下。
docker exec -it 47ee22 /bin/sh (其中47ee22为容器ID号，通过docker ps可查看）
# 找到文件内容：#dbms.security.auth_enabled=false
# 将前面的#号去掉，修改为dbms.security.auth_enabled=false

访问LogonTracer界面
http://[本机IP地址]:8080

此时，通过上述4步之后LogonTracer的Docker环境已经搭建好并可以正常运行

问题处理

由于打开的页面中有2个JS文件调用的是远程网址，这2个网址由于一些原因在国内无法正常访问，所以，在通过浏览器访问首页后，点击Upload Event Log按钮是无反应的，那就无法上传日志文件，这就是需要解决的坑。

解决这个坑要对2处JS进行修改：

# 第一处JS：
https://cdn.rawgit.com/neo4j/neo4j-java-driver/1.4.1/lib/browser/neo4j-web.min.js
#解决办法：直接修改系统的hosts文件，手动将域名cdn.rawgit.com解析到151.139.237.11上，该网址就可以正常访问了。
# 执行命令：
vim /etc/hosts 然后在hosts文件中添加一行： 151.139.237.11 cdn.rawgit.com
#
# 第二处JS：
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
# 解决方法：进入Docker镜像编辑index.html模板文件。
# 执行命令：
docker exec -it 7882c4e3dab1 /bin/sh (其中7882c4e3dab1为容器ID)
#进入Docker镜像的终端内执行命令，编辑模板文件：
vi /usr/local/src/LogonTracer/templates/index.html
找到
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
将该网址的改为
https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js
保存文件。
# 重启Docker镜像
docker restart 7882c4e3dab1 (其中7882c4e3dab1为容器ID)

上传日志分析

点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件，点击“Browse”选择日志文件，然后点击“Upload”，进行上传。这时候就完美解决了上传按钮点不了的问题了。

这样就已经成功运行并使用LogonTracer对日志文件进行分析了。

Windows的日志目录：

• 系统日志：记录Windows系统组件产生的各种事件，如驱动程序、系统组件、应用程序错误消息等。其默认位置为 %SystemRoot%\System32\winevt\Logs\System.evtx。
• 应用程序日志：记录由应用程序产生的各种事件，例如浏览器可能会将相关日志保存在 %UserProfile%\Cookies 等路径下。
• 安全日志：记录系统的安全相关信息，如成功的登录、退出尝试、系统文件的创建、删除、更改等。安全日志仅对系统管理员可见，其默认位置为 %SystemRoot%\System32\winevt\Logs\Security.evtx。

上传日志分析时间较久，需要耐心等待

缺点：当日志量庞大时，要进行分析相当不易，分析所需要的时间较多。细节信息相对较少