# XII. Event Logs

## 1. What are Event Logs?

Event Logs là nhật ký được thu thập thông qua hệ điều hành Windows. Có nhiều loại logs khác nhau trong các logs này. Application logs, security logs và system logs có thể được lấy làm ví dụ. 

Event Logs là một nguồn tài nguyên rất quan trọng để hiểu liệu có nhiều quy trình trên hệ thống đã diễn ra hay không và nắm bắt được các chi tiết. 

Các nhà phân tích SOC thường sử dụng event Logs khi phát hiện sự hiện diện và hoạt động của các mối đe dọa trên hệ thống. 

Ví dụ: một số nhật ký sự kiện như sau: 

* Powershell activities
* Deleting event logs
* Starting and stopping services
* Creating a new scheduled task
* RDP activity
* Changing user privileges
* Failed login activities

Những hành động này là một trong những hành động cơ bản nhất được thấy trong bất kỳ cuộc tấn công mạng nào. Vì vậy, phân tích nhật ký sự kiện thực sự quan trọng để tìm ra nguyên nhân cốt lõi của cuộc tấn công mạng.

## 2. Event Logs Structure

Số lượng thành phần của hệ điều hành Windows khá lớn. Vì vậy, event logs cũng có số lượng lớn. Tất cả records này được lưu giữ theo một thứ tự nhất định. 

Mỗi loại record có một giá trị "Event ID" để phân biệt với nhau. 

Trong quá trình phân tích log, việc lọc có thể được thực hiện theo giá trị "Event ID" để hoạt động với ít nhật ký hơn và hoạt động trên đầu ra đơn giản hơn. 

Trong hệ thống Windows, có ba tiêu đề nhật ký sự kiện chính là "Application", "System" và "Security".

<figure><img src="/files/4B0eZuLt1iBiNN8qCHYR" alt=""><figcaption></figcaption></figure>

**Application:** Nó cung cấp log records liên quan đến các ứng dụng trong hệ thống. Ví dụ: bạn có thể tìm thấy lỗi mà ứng dụng antivirus đang chạy trên hệ thống nhận được.

**System:** Đây là khu vực chứa logs được tạo bởi các thành phần cơ bản của hệ điều hành. Ví dụ: bạn có thể tìm thấy log về các hoạt động loads và unloads của trình điều khiển tại đây.

**Security:** Records liên quan đến xác thực và bảo mật được lưu giữ ở đây.

## 3. Viewing Event Logs with Event Viewer

Sử dụng giao diện đồ họa người dùng (GUI) trong khi làm việc trên nhật ký sự kiện có thể mang lại sự tiện lợi lớn.&#x20;

Chương trình "**Event Viewer**" được sử dụng để xem nhật ký sự kiện từ giao diện người dùng đồ họa trên Windows.&#x20;

Ví dụ: chúng ta hãy mở chương trình "Event Viewer": Chúng ta hãy mở ứng dụng "Run" bằng tổ hợp phím "**Windows + R**" và viết tên ứng dụng chúng ta muốn chạy: "**eventvwr**":

<figure><img src="/files/8af83cZFS8CqscMsdOmM" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/wlso0EulsgPeTUSJWPsg" alt=""><figcaption></figcaption></figure>

Khi chương trình "**Event Viewer**" được mở, một cửa sổ như cửa sổ trên sẽ xuất hiện.

<figure><img src="/files/AwqptpuOxSvhl7ZftEgm" alt=""><figcaption></figcaption></figure>

Trong cửa sổ này, loại log trong danh mục mong muốn có thể được chọn từ phần bên trái và có thể thực hiện phân tích. Ví dụ: hãy kiểm tra nhật ký của những lần đăng nhập thất bại:

<figure><img src="/files/BYvUVvGJNlVto2XXn3wv" alt=""><figcaption></figcaption></figure>

Đối với nhật ký đăng nhập thành công và không thành công, phần "**Security**" phải được mở trong tab "Windows Logs". Như đã thấy trong hình trên, log đăng nhập thất bại đã được ghi lại trong nhật ký sự kiện. Giá trị "Event ID" cho các lần đăng nhập không thành công là "**4625**".&#x20;

Thật không dễ dàng để ghi nhớ các giá trị Event ID của tất cả các nhật ký. Do đó, danh sách ID sự kiện có thể xem được nếu cần sẽ hữu ích.&#x20;

Ví dụ: có thể sử dụng một danh sách như địa chỉ sau: **Event ID List:** <https://andreafortuna.org/2019/06/12/windows-security-event-logs-my-own-cheatsheet/>

### Filtering Event Logs

Vì số lượng event logs được ghi trên hệ thống có thể rất lớn nên việc kiểm tra bằng cách lọc sẽ dễ dàng hơn.&#x20;

Ví dụ: với tùy chọn "**Filter Current Log**" ở bên phải, chúng ta chỉ xem nhật ký của những lần đăng nhập thất bại:

<figure><img src="/files/2DqIFvyxDIb1vU7tc9Er" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/8bkmx0j7zfIZlM4qxVeL" alt=""><figcaption></figcaption></figure>

Event ID value "**4625**" được ghi ở vị trí trong hình trên.

<figure><img src="/files/tkgZ3nOTxx5o2ecx9rKm" alt=""><figcaption></figcaption></figure>

## 4. Viewing Event Logs via Command Line

Event log analyzes cũng có thể được thực hiện thông qua command line. Đó là lệnh "**wevtutil**" cho phép kiểm tra nhật ký sự kiện thông qua command line.&#x20;

Ví dụ: hãy kiểm tra event logs với Event ID value là "**4625**":&#x20;

Lưu ý: Khi thực hiện kiểm tra nhật ký sự kiện trên dòng lệnh, dòng lệnh phải được chạy với quyền quản trị viên, nếu không nó sẽ đưa ra lỗi ủy quyền (authorization error).

<figure><img src="/files/hFY1zFR9sucdGa1M6nto" alt=""><figcaption></figcaption></figure>

Như trong hình trên, nhật ký có giá trị ID sự kiện là "4625" đã được in thành công trên màn hình.

**Command:&#x20;**<mark style="color:red;">**wevtutil query-events Security /rd:true /count:1 /format:text /q:"Event\[System\[(EventID=4625)]]"**</mark>

* "query-events" parameter : Query events from a log or log file. (Lệnh để truy vấn các sự kiện từ nhật ký.)
* "/rd" parameter : Reverse direction. (Hiển thị các sự kiện được đọc theo thứ tự ngược lại (từ mới nhất đến cũ nhất))
* "/count" parameter : Log count.&#x20;
* "/format" parameter : Output format.
* "/q" parameter : XPathQuery.

**Wevtutil:** [**https://ss64.com/nt/wevtutil.html**](https://ss64.com/nt/wevtutil.html)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/os/windows-fundamentals/xii.-event-logs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.