使用sysmon、nxlog和graylog实现windows服务器安全日志监控
Sysmon系统监视器是一种Windows系统服务和设备驱动程序,安装后会在系统重启后继续运行,用于监视并记录系统活动至Windows事件日志中。
它能够提供详细的进程创建、网络连接和文件创建时间变更信息。通过Windows事件收集或SIEM代理收集这些事件,并进行后续分析,可以识别出恶意或异常活动,并了解攻击者和恶意软件在网络中的操作方式。
请注意,Sysmon不会对其生成的事件进行分析,也不会尝试保护或隐藏自身免受攻击者的攻击。
准备工作
- Sysmon64.exe
可从以下链接下载:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
nxlog安装包 nxlog-ce-2.10.2150.msi
sysmonconfig-export.xml配置文件
建议安装Notepad++用于编辑配置文件
(点击图片可放大查看)
(点击图片可放大查看)
- 安装Sysmon
使用以下命令安装Sysmon并应用配置文件:
Sysmon64.exe -i sysmonconfig-export.xml -accepteula
(点击图片可放大查看)
关于sysmonconfig-export.xml配置模板文件的获取,了解的人自然知道,这里不做展开讨论。
- 安装Nxlog并修改nxlog.conf
(点击图片可放大查看)
nxlog.conf配置文件中的部分内容如下:
Module im_msvistalog
Query *
Path eventlog => systemout
Path sysmon => sysmonout
(点击图片可放大查看)
- 启动Nxlog服务
(点击图片可放大查看)
- GrayLog配置Input
为了区分系统日志与Sysmon日志,需创建不同的输入、索引和流。
(点击图片可放大查看)
(点击图片可放大查看)
(点击图片可放大查看)
(点击图片可放大查看)
(点击图片可放大查看)
防火墙需开放1517和1518 UDP端口:
firewall-cmd --permanent --zone=public --add-port=1517/udp firewall-cmd --permanent --zone=public --add-port=1518/udp firewall-cmd --reload
(点击图片可放大查看)
- 测试Sysmon日志
例如,在命令行中执行
ping www.baidu.com:
(点击图片可放大查看)
可以查看到DNS查询日志和命令行进程日志。
(点击图片可放大查看)
(点击图片可放大查看)
