Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
Sysmon系统监视器是一种 Windows 系统服务和设备驱动程序,一旦安装在系统上,系统重启后,它仍驻留在系统重启中,以监视系统活动,以及将系统活动记录到 Windows 事件日志中。
它提供有关进程创建、网络连接和文件创建时间更改的详细信息。通过使用 Windows 事件收集或 SIEM 代理收集它生成的事件并随后分析这些事件,可以识别恶意或异常活动,并了解攻击者和恶意软件如何在你的网络上运行。
请注意 ,Sysmon 不提供其生成的事件的分析,也不尝试保护或隐藏自身免受攻击者的攻击。
准备条件
1、Sysmon64.exe
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
2、nxlog安装包 nxlog-ce-2.10.2150.msi3、sysmonconfig-export.xml配置文件4、建议安装nodepad++用于编辑配置文件
1、安装Sysmon
Sysmon64.exe -i sysmonconfig-export.xml -accepteula
其中sysmonconfig-export.xml 这个配置模板文件从哪获取,懂的都懂 就不展开讨论了
2、安装Nxlog并修改nxlog.conf
nxlog.conf配置文件中部分内容如下
<Input sysmon> Module im_msvistalog Query <QueryList> <Query Id="0"> <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select> </Query></QueryList> </Input> <Output systemout> Module om_udp Host 192.168.31.127 Port 1517 </Output> <Output sysmonout> Module om_udp Host 192.168.31.127 Port 1518 </Output> <Route udp1> Path eventlog => systemout </Route> <Route udp2> Path sysmon => sysmonout </Route>
3、启动nxlog服务
4、GrayLog配置Input
这里为了区别系统日志与Sysmon日志,创建不同的input,indices,stream
防火墙开放1517 1518 udp 端口
firewall-cmd --permanent --zone=public --add-port=1517/udp firewall-cmd --permanent --zone=public --add-port=1518/udp firewall-cmd --reload
5、测试sysmon日志
例如命令行ping www.baidu.com
可以查到DNS查询日志和命令行进程日志
