Windwos日誌分析

2022-08-20 05:03:14 字數 2554 閱讀 8089

「開始」選單上,依次指向「所有程式」「管理工具」,然後單擊「事件檢視器」

按 "window+r",輸入 」eventvwr.msc「 也可以直接進入「事件檢視器

對於windows事件日誌分析,不同的event id代表了不同的意義,摘錄一些常見的安全事件的說明:

事件id

說明4624

登入成功

4625

登入失敗

4634

登出成功

4647

使用者啟動的登出

4672

使用超級使用者(如管理員)進行登入

4720

建立使用者

每個成功登入的事件都會標記乙個登入型別,不同登入型別代表不同的方式:

登入型別

描述說明

2互動式登入(interactive)

使用者在本地進行登入。

3網路(network)

最常見的情況就是連線到共享資料夾或共享印表機時。

4批處理(batch)

通常表明某計畫任務啟動。

5服務(service)

每種服務都被配置在某個特定的使用者賬號下執行。

7解鎖(unlock)

屏保解鎖。

8網路明文(networkcleartext)

登入的密碼在網路上是通過明文傳輸的,如ftp。

9新憑證(newcredentials)

使用帶/netonly引數的runas命令執行乙個程式。

10遠端互動,(remoteinteractive)

通過終端服務、遠端桌面或遠端協助訪問計算機。

11快取互動(cachedinteractive)

以乙個域使用者登入而又沒有域控制器可用

「開始」選單上,依次指向「所有程式」「管理工具」,然後單擊「事件檢視器」

在事件檢視器中,單擊「安全」,檢視安全日誌;

在安全日誌右側操作中,點選「篩選當前日誌」,輸入事件id進行篩選。

4624 --登入成功

4625 --登入失敗

4634 -- 登出成功

4647 -- 使用者啟動的登出

4672 -- 使用超級使用者(如管理員)進行登入

log parser

基本查詢結構

logparser.exe –i:evt –o:datagrid "select * from c:\xx.evtx"
1、查詢登入成功的事件

登入成功的所有事件logparser.exe -i:evt –o:datagrid  "select *  from c:\security.evtx where eventid=4624"指定登入時間範圍的事件:logparser.exe -i:evt –o:datagrid  "select *  from c:\security.evtx where timegenerated>'2018-06-19 23:32:11' and timegenerated<'2018-06-20 23:34:00' and eventid=4624"提取登入成功的使用者名稱和ip:logparser.exe -i:evt  –o:datagrid  "select extract_token(message,13,' ') as eventtype,timegenerated as logintime,extract_token(strings,5,'|') as username,extract_token(message,38,' ') as loginip from c:\security.evtx where eventid=4624"
2、查詢登入失敗的事件

登入失敗的所有事件:logparser.exe -i:evt –o:datagrid  "select *  from c:\security.evtx where eventid=4625"提取登入失敗使用者名稱進行聚合統計:logparser.exe  -i:evt "select  extract_token(message,13,' ')  as eventtype,extract_token(message,19,' ') as user,count(extract_token(message,19,' ')) as times,extract_token(message,39,' ') as loginip from c:\security.evtx where eventid=4625 group by message"
3、系統歷史開關機記錄:

logparser.exe -i:evt –o:datagrid  "select timegenerated,eventid,message from

mysql查詢日誌分析 mysql日誌分析

日誌檔案 log 就是乙個跟蹤記錄的列表,它可以協助我們時刻掌握系統及應用服務的動作狀態,在故障排查的時候提供最詳細準確地資訊,幫助我們快速查詢原因,減少我們憑主觀的經驗去猜測,這樣的答案更具有說服力,機器通常是不會撒謊的。任何的系統,無論是作業系統 資料庫 應用伺服器他們都會有自己的log檔案,而...

日誌分析工具 日誌管理系統 syslog分析

日誌分析工具 日誌管理系統 syslog分析 系統日誌 syslog 管理是幾乎所有企業的重要需求。系統管理員將syslog看作是解決網路上系統日誌支援的系統和裝置效能問題的關鍵資源。人們往往低估了對完整的sys log監控解決方案的需求,導致長時間篩選大量系統日誌來解決某乙個問題。高效的事件日誌s...

蜘蛛日誌分析工具 如何分析蜘蛛日誌?

什麼是蜘蛛日誌?所謂的蜘蛛日誌就是當搜尋引擎向伺服器傳送請求時產生的訪問記錄檔案。每個 都會有日誌檔案,但是很多時候,日誌檔案只有在 出現問題的時候才會被查閱。在seo方面,日誌檔案是更容易被忽略的一塊,但是日誌檔案對於seo來說事非常重要的,我們可以在日誌檔案中獲取各種資訊並發現 存在的一些問題。...