Кратко: Windows Event Logs (журналы событий Windows) — это подробные записи обо всем, что происходит в системе: кто залогинился, какие программы запускались, что менялось в реестре. Для SOC-аналитика это главный источник данных при расследовании инцидентов . Именно по этим записям восстанавливают хронологию атак, находят следы хакеров и доказывают факт взлома .

▫️ Как это устроено Журналы Windows находятся в папке C:\Windows\System32\winevt\Logs\ в виде файлов с расширением .evtx . Внутри — структурированные записи о событиях. Четыре основных типа логов: · Application — события от приложений (ошибки софта, предупреждения) · Security — всё об аутентификации: логины, попытки входа, изменение прав. Самый важный для расследований · System — работа ОС, драйверы, службы · Setup — установка обновлений и ПО В Windows также есть ETW (Event Tracing for Windows) — расширенная система трассировки, которая ловит глубокие системные события: вызовы API, сетевые подключения, загрузку драйверов .

▫️ Event IDs: язык, на котором говорит система Каждое событие имеет свой Event ID — уникальный номер, идентифицирующий тип действия . Знание ключевых ID — база для аналитика. Вот основные : Security.evtx (аутентификация): · 4624 — успешный вход в систему (поле Logon Type: 2 = локальный, 3 = сетевой, 10 = RDP) · 4625 — неудачная попытка входа (массовые попытки с одного IP — брутфорс) · 4672 — вход с правами администратора · 4688 — создание нового процесса (показывает, какая команда запущена) · 4720 — создание новой учётной записи (возможный бэкдор) System.evtx (службы): · 7045 — установка новой службы (частый признак PSExec или Cobalt Strike) · 7036 — запуск/остановка службы PowerShell: · 4104 — выполнение PowerShell-скрипта (показывает код, если включён Script Block Logging) Другие полезные ID: · 5152 — пакет заблокирован фаерволом · 5156 — соединение разрешено · 104 — очистка логов (прямой признак замести следов) · 4740 — блокировка учётной записи (часто результат брутфорса)

▫️ Инструменты PowerShell — базовый инструмент. INCIBE рекомендует : # Поиск неудачных логонов Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4625} | Select-Object TimeCreated, Message

EvtxECmd (от Эрика Циммермана) — конвертирует все .evtx в один CSV : EvtxECmd.exe -d "C:\Windows\System32\winevt\Logs" --csv "C:\Output" --csvf timeline_events.csv

Timeline Explorer — открывает CSV и строит хронологию . Sysmon (от Sysinternals) — дополняет логи расширенной информацией: командные строки, хеши файлов, родительские процессы .

▫️ Практический кейс: атака через PSExec При латеральном перемещении хакеры часто используют PSExec. Типичный паттерн в логах : · Security.evtx: 4624 с Logon Type 3 (сетевой вход) с нетипичного хоста · System.evtx: 7045 установка новой службы (PSExec создаёт службу на удалённом компьютере) Две записи с разницей в пару секунд — явный признак.

▫️ Культурный феномен В SOC-сообществе сформировалась целая культура работы с Event Logs. Опытные аналитики держат в голове десятки Event ID. Существуют готовые фильтры и запросы для быстрого поиска. Умение читать логи — один из ключевых навыков, отделяющих джуниора от эксперта .

▫️ Современное положение (2026) Windows Event Logs остаются основой в корпоративных сетях. В российских компаниях логи централизованно собирают и анализируют через SIEM-системы (MaxPatrol, Kaspersky Security Center) . Появляются AI-инструменты, которые помогают анализировать тысячи событий , но финальное решение всегда за человеком.

Главный вывод: Windows Event Logs — это бесценный источник информации. Научитесь читать их, и вы сможете увидеть следы атак, которые другие пропускают. Помните: хакеры тоже это знают и часто пытаются очистить логи. Поэтому ваша задача — собрать доказательства первыми.

#windows #forensics #eventlogs #soc #dfir #incidentresponse #infosec