windows日誌存放於目錄「c:\windows\system32\winevt\logs」中,
分別對應系統日誌、安裝日誌、應用程式日誌和安全日誌
雙擊開啟,預設在事件檢視器中檢視
任務類別
關鍵字eventid
登入審核成功
登入審核失敗
登出審核成功
特殊登入
審核成功
憑據驗證
審核成功
–o:datagrid 視覺化輸出
extract_token(strings,5,'|') as username strings欄位按照|分段第5個值,把表頭重新命名為username
使用logparser –h –i:evt 查出幫助資訊
檢視安全日誌的全部字段
logparser.exe –i:evt "select * from c:\security.evtx」
檢視登入審核失敗日誌的全部欄位並視覺化輸出
logparser.exe –i:evt –o:datagrid "select * from c:\security.evtx where eventid=4625
"
檢視登入審核失敗日誌的登入時間,登入使用者,登入ip資訊
logparser.exe -i:evt "select timegenerated as logintime,extract_token(strings,5,'|') as username,extract_token(strings,19,'|') as sip from c:\security.evtx where eventid=4625
"
使用Log Parser分析日誌
我們可以對windows日誌進行分析 比如我們分析域控日誌的時候,想要查詢賬戶登陸過程中,使用者正確,密碼錯誤的情況,我們需要統計出源ip,時間,使用者名稱時,我們可以這麼寫 select timegenerated,extract token strings,0,as username,extra...
使用LogParser分析日誌
系統運維,少不了分析系統日誌,微軟有個工具log parser可以幫助你分析日誌。它功能強大,使用簡單,可以分析基於文字的日誌檔案 xml 檔案 csv 逗號分隔符 檔案,以及作業系統的事件日誌 登錄檔 檔案系統 active directory。它可以像使用 sql 語句一樣查詢分析這些資料,甚至...
log parser分析windows日誌
首先將windows安全日誌匯出,步驟如下 執行eventvwr.msc命令,開啟windows日誌,如下圖,將所有事件另存為 儲存完之後是乙個.evtx格式的檔案,將使用log parser分析這個匯出的日誌 分析命令如下 logparser.exe i evt select timegenera...