wtorek, 15 lipca 2014

Obrabianie syslog z Windows - SNARE


http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx

4624 - RDP log on sucessfull
4625 - RDP log on fail
4663 - audit file
4771 - Kerberos log on failed
4728 - change group usera
4726 - delete user
4720 - create user

5136 - edit AD object
5141 - delete AD object

(grep modified CN to jest Unique ID policy GPO
http://blogs.msdn.com/b/canberrapfe/archive/2012/05/02/auditing-group-policy-changes.aspx

 grep gPLink - podlinkowanie GPO
grep modified - zmiana w GPO
grep Added - create
grep Deleted - delete


--------------------

# grep
WriteData - zapis do pliku
ReadData - odczyt pliku
DELETE - kasowanie pliku

#awk
awk '{print $17}' - DOMENA\daniel
awk '{print $53,$54}' - jaki plik
awk '{print $77}' - ReadData
awk '{print $108}' - WriteData
awk '{print $75}' - DELETE
awk '{print $15}' - EVENT ID
awk '{print $55}' - EVENT ID 5136 jest to wartość CN [Unique ID GPO]

cd /var/log/DOMENA/`date +%Y%m%d`               # wyjsie do logów bieżącego dnia

TESTY:
A)
cat nazwa_hosta.auth | grep pdf | grep ReadData | grep service_admin | wc -l          # ile odczytał services vcadmin
B)
cat nazwa_hosta.auth | grep pdf | grep ReadData | wc -l                                      # ile było wszystkich odczytów

!!!!!!!!!!!!!! Jeśli B - A wychodzi różnica ktoś inny odczytywał pliki  !!!!!!!!!!!!!!!!!!!!!!!!!!!!

cat nazwa_hosta.auth | grep pdf | grep ReadData | awk '{print $17}' | less        # kto coś odczytywał

cat nazwa_hosta.auth | grep pdf | grep ReadData | grep daniel | awk '{print $17,$53,$54}' | less         # co przeglądał użytkownik daniel
 cat nazwa_hosta.auth | grep pdf | grep ReadData | grep -v -e service_admin | awk '{print $17,$53,$54}'              # kto odczytywał pliki z nazwa_hosta:E:\Pliki\ oprócz service_admin


- Wyświetla wszystkie EVENT ID usera daniel
cat nazwa_systemu.auth | grep daniel | awk '{print $15}' > /root/coutn.daniel

- Sortuje EVENT ID rosnąco
sort /root/coutn.daniel > /root/coutn.daniel.sort

- Uruchamiamy po komendzie "sort /root/coutn.daniel > /root/coutn.daniel.sort" zlicza ile jest tych samych lini
uniq -c /root/coutn.daniel.sort


- Sortuje EVENT ID rosnąco, zostawia tylko jeden wpis jeśli występują duplikaty
sort -u /root/coutn.daniel > /root/coutn.daniel.sort


Autor: o

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)