Sysmon+Nxlog+GrayLog实现Windowsdows服务器安全日志监控

使用sysmon、nxlog和graylog实现windows服务器安全日志监控

Sysmon系统监视器是一种Windows系统服务和设备驱动程序，安装后会在系统重启后继续运行，用于监视并记录系统活动至Windows事件日志中。

它能够提供详细的进程创建、网络连接和文件创建时间变更信息。通过Windows事件收集或SIEM代理收集这些事件，并进行后续分析，可以识别出恶意或异常活动，并了解攻击者和恶意软件在网络中的操作方式。

请注意，Sysmon不会对其生成的事件进行分析，也不会尝试保护或隐藏自身免受攻击者的攻击。

准备工作

1. Sysmon64.exe

可从以下链接下载：

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

2. nxlog安装包 nxlog-ce-2.10.2150.msi

3. sysmonconfig-export.xml配置文件

4. 建议安装Notepad++用于编辑配置文件

(点击图片可放大查看)

(点击图片可放大查看)

1. 安装Sysmon

使用以下命令安装Sysmon并应用配置文件：

Sysmon64.exe -i sysmonconfig-export.xml -accepteula

(点击图片可放大查看)

关于sysmonconfig-export.xml配置模板文件的获取，了解的人自然知道，这里不做展开讨论。

2. 安装Nxlog并修改nxlog.conf

(点击图片可放大查看)

nxlog.conf配置文件中的部分内容如下：

Module im_msvistalog
    Query  * 

    Module      om_udp
    Host        192.168.31.127
    Port        1517


    Module      om_udp
    Host        192.168.31.127
    Port        1518


    Path eventlog => systemout


    Path sysmon => sysmonout

(点击图片可放大查看)

3. 启动Nxlog服务

(点击图片可放大查看)

4. GrayLog配置Input

为了区分系统日志与Sysmon日志，需创建不同的输入、索引和流。

(点击图片可放大查看)

(点击图片可放大查看)

(点击图片可放大查看)

(点击图片可放大查看)

(点击图片可放大查看)

防火墙需开放1517和1518 UDP端口：

firewall-cmd --permanent --zone=public --add-port=1517/udp
firewall-cmd --permanent --zone=public --add-port=1518/udp
firewall-cmd --reload

(点击图片可放大查看)

5. 测试Sysmon日志

例如，在命令行中执行

ping www.baidu.com

：

(点击图片可放大查看)

可以查看到DNS查询日志和命令行进程日志。

(点击图片可放大查看)

(点击图片可放大查看)