下载安装:
微软官方链接:https://www.microsoft.com/en-us/download/details.aspx?id=24659
直接点击exe安装即可。
1、了解windows系统日志事件ID含义:
依据事件ID,在如下官网链接搜索。
https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4634
2、利用可视化进行查看:
Logparser需要结合数据库查询语句一起使用,一般使用两种格式输出日志结果:-o:csv和-o:DATAGRID,均是类似表格形式。
2.1例子1----暴力破解登录windows
Ø 登录成功一般事件ID:4624 登录失败事件ID:4625.。详细见上面。
Ø 登录类型:不同登录类似代表不同登录。(一般病毒之类的会用
登录类型 |
解释 |
2 |
交互登录。最常见的登录方式 |
3 |
网络登录。最常见的是访问网路共享文件夹或打印机。IIS认证也属于Logon Type 3 。 |
4 |
计划任务 |
5 |
服务。某些服务用一个域账号来运行的,出现Failure常见的情况是管理员跟换了域密码但是忘了更改service的密码。 |
7 |
解除屏幕锁定。很多公司或者用户有这样的安全设置:当用户离开一段把时间,屏幕程序会锁定屏幕,解开屏幕输入账号密码就会产生该事件 |
8 |
网络明文登录,比如发生在IIS的ASP服务 |
9 |
新身份登录通常发生在RunAS方式运行的某程序时的登录验证 |
10 |
远程登录 产生事件10 |
11 |
为方便笔记本用户,计算机会缓存前十次成功登录的登录 |
Ø 导出日志,利用Logparser输出可视化结果。
查看全部字段:(基本不用,没办法看)
Logparser.exe –i:EVT "SELECT * FROM 日志名称(注意路径问题)”
Ø 查看全部字段,且可视化输出
方法一:Logparser.exe -i:EVT -o:DATAGRID "SELECT * FROM 160.evtx"
方法二:Logparser.exe -i:EVT -o:csv "SELECT * FROM 160.evtx" > 160.csv (有个问题一旦日志数量过大可能导致excle无法显示完全,excle一般最多显示6万行)
Ø 查看全部字段,且可视化输出,输出想要的事件ID
Ø 从上面内容可以看出,想要的字段都在Strings里面,从这里面筛选,源地址
LogParser.exe -i:EVT -o:csv "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,19,'|') AS Client_IP,EXTRACT_TOKEN(Strings,20,'|') AS Client_PORT FROM '160.evtx' where eventID=4625" >160-2.csv
可根据数字修改要提取的字段,根据实际情况修改提取表格strings.
来源:oschina
链接:https://my.oschina.net/u/4332589/blog/4277017