文章总结： 本文档为Windows事件日志应急响应专家手册，系统梳理日志存储路径、核心字段和应急原则，重点提供按攻击链逆向的排查顺序和高风险事件ID速查表（涵盖日志破坏、账户异常、登录行为、持久化等场景），并阐述登录ID关联、时间线分析等取证方法，最后给出禁用异常账户、终止恶意进程等应急处置清单。 综合评分： 85 文章分类： 应急响应,安全运营,威胁情报,恶意软件,漏洞分析

Windows 事件日志应急响应手册（安全应急专家版）

TtTeam

2026年4月16日 08:32 海南

在小说阅读器读本章

去阅读

以下文章来源于威胁情报Z分析 ，作者Z

威胁情报Z分析 .

国际网络安全威胁情报，地缘政治事件分析。

一、日志基础信息（应急必读）

1.1 日志存储路径

默认路径：%SystemRoot%\System32\winevt\logs\

日志格式：.evtx（二进制 XML 格式）

1.2 应急核心字段（按重要性排序）

事件 ID：行为唯一标识，快速定位攻击动作

已记录：事件发生时间（注意时区与时钟偏差）

用户：执行操作的账户（警惕 SYSTEM 异常操作）

计算机：产生日志的主机（≠攻击源 IP）

描述：源 IP、命令行、进程路径、资源访问等溯源信息

登录 ID：用于串联登录→操作→注销完整行为链

1.3 应急第一原则

入侵发生后，第一时间导出日志并异地备份，防止攻击者清除、篡改日志。

二、应急排查黄金顺序（攻击链逆向）

检查日志是否被清除、审计策略是否被篡改

排查账户异常：创建、提权、删除、枚举

定位登录行为：暴力破解、横向移动、异常登录

发现持久化：服务、计划任务、注册表

还原攻击命令：进程、PowerShell、命令行

定位网络外联与数据窃取

多日志交叉验证，形成完整证据链

三、高风险事件 ID 速查表（专家版）

3.1 日志破坏与策略篡改（最高优先级）

| | | | | | — | — | — | — | | 事件 ID | 日志 | 含义 | 攻击特征 | | 1102 | 安全 | 安全日志被清除 | 非管理员操作、无业务理由 | | 104 | 系统 | 系统日志被清除 | 异常时间清除痕迹 | | 4719 | 安全 | 审计策略被修改 | 关闭登录 / 进程审计 | | 6006 | 系统 | 事件日志服务停止 | 非关机时段异常停止 |

3.2 账户与权限异常（高风险）

| | | | | — | — | — | | 事件 ID | 含义 | 攻击特征 | | 4720 | 创建用户 | 伪装系统账户、后门账户 | | 4725 | 禁用用户 | 破坏管理账户 | | 4726 | 删除用户 | 销毁痕迹 | | 4728/4732/4756 | 添加用户到管理员组 | 权限提升 | | 4738 | 修改用户属性 | 开启密码永不过期 | | 4798/4799 | 枚举组信息 | 批量枚举 = 攻击侦察 | | 4672 | 管理员权限登录 | 普通用户异常提权 |

3.3 登录与认证异常（核心溯源）

| | | | | — | — | — | | 事件 ID | 含义 | 风险场景 | | 4624 | 登录成功 | 异常 IP、异常时间、RDP 登录 | | 4625 | 登录失败 | 爆破、密码喷洒、哈希传递 | | 4648 | 显式凭据登录 | RunAs、横向移动、越权操作 | | 4768 | Kerberos 认证 | 密码错误、票据攻击 | | 4771 | Kerberos 失败 | 暴力破解 | | 4776 | NTLM 认证 | 横向移动特征 |

登录类型速记

2：本地交互登录

3：网络登录（SMB / 共享）

1：远程桌面（RDP）

2：缓存域凭据登录

3.4 持久化痕迹（服务 / 计划任务）

| | | | | | — | — | — | — | | 事件 ID | 日志 | 含义 | 攻击特征 | | 7045 | 系统 | 安装服务 | 可疑路径、随机名服务 | | 7040 | 系统 | 服务启动类型修改 | 禁用安全组件 | | 106 | 任务计划 | 创建任务 | 开机执行、恶意命令 | | 140 | 任务计划 | 修改任务 | 篡改系统任务 | | 200 | 任务计划 | 执行任务 | 执行 PowerShell/CMD |

3.5 进程与命令执行（攻击行为还原）

| | | | | — | — | — | | 事件 ID | 含义 | 攻击特征 | | 4688 | 进程创建 | 可疑父进程、编码命令、下载行为 | | 4104 | PowerShell 脚本块 | 编码命令、IEX、远程载荷 | | 800 | PowerShell 执行 | 远程执行、敏感操作 | | 5156 | 允许网络连接 | 外联 C2、异常 IP | | 5157 | 阻止连接 | 攻击未遂 |

3.6 共享与数据访问（数据泄露）

| | | | | — | — | — | | 事件 ID | 含义 | 风险 | | 5140 | 访问网络共享 | 批量访问 = 数据窃取 | | 5145 | 共享权限检查 | 越权访问敏感共享 |

3.7 防御组件日志

| | | | — | — | | 事件 ID | 含义 | | 1116 | Defender 检测恶意软件 | | 5001 | 实时保护被关闭 | | 4697 | 服务安装（安全日志） |

3.8 Sysmon 关键事件（增强取证）

1：进程创建（含命令行、哈希）

3：网络连接

8：远程线程注入

11：文件创建

12/13：注册表操作

22：DNS 查询

四、应急分析方法（专家技巧）

登录 ID 关联法

用 4624 登录 ID 串联 4688、4672、4634，还原完整操作链。

时间线分析法

以攻击时间为中心，前后扩展 1 小时，按时间排序所有事件。

基线对比法

对比正常业务时段，识别异常时间、异常 IP、异常进程、异常账户。

跨主机交叉验证

A 机登录 → B 机访问 → C 机数据读取，形成完整横向移动路径。

五、应急处置动作清单

发现异常账户：立即禁用、重置密码、检查域内扩散

发现异常登录：拉黑源 IP、终止会话、全资产扫描

发现恶意进程：终止进程、删除文件、回溯父进程

发现持久化：删除恶意服务 / 计划任务、清理注册表

发现数据窃取：断网、备份、评估泄露范围、启动应急流程

六、专项日志路径

任务计划：Microsoft-Windows-TaskScheduler%4Operational.evtx

PowerShell：Microsoft-Windows-PowerShell%4Operational.evtx

Sysmon：Microsoft-Windows-Sysmon%4Operational.evtx

WLAN：Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx

AppLocker：Microsoft-Windows-AppLocker%4EXE and DLL.evtx

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《Windows 事件日志应急响应手册（安全应急专家版）》