Python 获取WindowsEvtx日志文件并解析

已于 2024-03-14 16:11:35 修改
阅读量3.3k 收藏 5
点赞数
分类专栏: python 文章标签: python windows
于 2022-04-21 14:43:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/black794/article/details/124320254
版权

Python 获取WindowsEvtx日志文件并解析

.evtx是Windows事件日志文件的扩展名,用于记录系统和应用程序的运行事件,以XML格式存储。
常见的evtx文件包括记录系统事件的System.evtx、记录应用程序事件的Application.evtx和记录安全审核事件的Security.evtx。
这些文件可通过Windows事件查看器、PowerShell和evt parser等工具查看和分析。
EVTX文件保存在特定路径中,当文件记录满时,会覆盖最开始的记录。

Security.evtx也是取证中最常用到的。

存储位置:

C:\Windows\System32\winevt\Logs\Security.evtx

在这里插入图片描述

Evtx日志分析

Windows用 Event ID来标识事件的不同含义,一些常见的Event ID 如下:

事件ID描述
4608Windows 启动
4609Windows 关机
4616系统时间发生更改
4624用户成功登录到计算机
4625登录失败。使用未知用户名或密码错误的已知用户名尝试登录。
4634用户注销完成
4647用户启动了注销过程
4648用户在以其他用户身份登录时,使用显式凭据成功登录到计算机
4703令牌权限调整
4704分配了用户权限
4720已创建用户账户
4725账户被禁用
4768请求Kerberos身份验证票证(TGT)
4769请求Kerberos服务票证
4770已续订Kerberos服务票证
4779用户在未注销的情况下断开了终端服务器会话

Windows日志 模块安装

pip install python-evtx
demo如下(随便写的):
import html
from xml.dom import minidom

import Evtx.Evtx as evtx

path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx"

with evtx.Evtx(path) as log:
    for record in log.records():
        timestamp = record.timestamp().timestamp()
        r = {}
        xml_doc = minidom.parseString(record.xml())
        # 事件ID 例如 4624登录成功,4625登录失败
        id_ = xml_doc.getElementsByTagName('EventID')[0].childNodes[0].data

        data = xml_doc.getElementsByTagName('Data')
        for d in data:
            name = d.getAttribute('Name')
            value = html.unescape(d.childNodes[0].data)

日志比较多,可以先筛选过滤Windows Security.evtx 安全日志:

wevtutil epl Security D:\Security_01.evtx /q:"*[System[(Level=4) and (EventID=4624) and TimeCreated[timediff(@SystemTime) <= 43200000]]]"

将Security路径下,所有消息D:\Security_01.evtx(Level=4),EventID=1001,
并且在一个小时内产生的windows事件日志导出到:D:\1001.evtx
注意,上面有个Application可以换成Security,Setup,System等日志路径。

Black:)
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
python读取windows日志_Python解析windows系统日志文件
weixin_39931362的博客
12-17 1391
DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,并且包括在 Python 2.0 的标准 XML 支持里。参考博客:python网络编程学习笔记:XML生成与解析Python取证技术: Windows 事件日志分析1.安装python_Evtx直接使用...
evtx:Windows XML事件日志EVTX)格式的快速(安全)解析
04-29
EVTX Windows XML EventLog格式的跨平台解析器 特征 :locked: 使用100%安全防锈实现-并在防锈支持的所有平台(具有stdlib)上运行。 :high_voltage: 快速-请参阅下面的基准。 它比其他任何实现都要快几个数量级! :rocket: 多线程的。 :sparkles: 支持XML和JSON输出,两者均直接从令牌树构造并且彼此独立(不执行xml2json转换!) :pick: 支持丢失记录/块的一些基本恢复! :snake: Python绑定也可以在 (以及PyPi )上获得。 安装(关联的二进制实用程序): 从下载最新的可执行文件版本 自动为Windows,macOS和Linux构建发行版本。 (仅64位可执行文件) 使用cargo install evtx从源进行构建 evtx_dump (二进制实用程序): 此包装箱evtx_dump的主要二进制实用程序是evtx_dump ,它提供了一种将.evtx文件转换
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 493
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
【script】python 解析 Windows日志python-evtx
qq_34965596的博客
02-13 3664
Windows日志 模块安装 pip install python-evtx Windows日志 解析源码 源码 import mmap import contextlib from Evtx.Evtx import FileHeader from Evtx.Views import evtx_file_xml_view from xml.dom import minidom def log_get(evtxpath): with open(evtxpath, 'r') as f:
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析
05-04
python-evtx 介绍 python-evtx是用于最近的Windows事件日志文件文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站查看Windows 7系统的事件日志。 结构定义和解析策略在很大程度上受到了Andreas Schuster和他的Perl实现“ Parse-Evtx”的启发。 背景 随着Windows Vista的发布,Microsoft引入了更新的事件日志文件格式。 Windows XP中使用的格式是记录结构的循环缓冲区,每个记录结构都包含一个字符串列表。 查看器解析了系统库文件中托管的模板,并将字符串插入了适当的位置。 较新的事件日志格式是专有的二进制XML。 从Windows 7的事件日志文件中解压缩块会得到具有可
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
Python 写入训练日志文件并控制台输出解析
09-18
主要介绍了Python 写入训练日志文件并控制台输出解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
python获取SVN日志
12-27
指定区间时间 获取SVN日志指定区间时间 获取SVN日志指定区间时间 获取SVN日志指定区间时间 获取SVN日志指定区间时间 获取SVN日志指定区间时间 获取SVN日志指定区间时间 获取SVN日志指定区间时间 获取SVN日志指定区间...
Python解析nginx日志文件
09-22
Web服务器的各种系统管理工作包括了多Nginx/Apache 日志的统计,python使这个任务变得极其简单,下面我们来详细讲解下具体的做法,有需要的小伙伴可以参考下。
python解析日志文件并且导出到excel中
10-22
需要将nextcloud.log文件放入E盘,然后启动即可
Python库 | python-evtx-0.2.3.zip
05-26
资源分类:Python库 所属语言:Python 资源全名:python-evtx-0.2.3.zip 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
python 通过pywin32获取windows日志
weixin_33998125的博客
07-08 2027
老外大牛原地址:http://www.blog.pythonlibrary.org/2010/07/27/pywin32-getting-windows-event-logs/ 实测能用,是收集win服务器日志的利器。importcodecs importos importsys importtime importtraceback importwin32con...
python读取windows日志_Python取证技术(3): Windows 事件日志分析
weixin_34449520的博客
02-04 3248
Windows的事件日志都存放在 C:WindowsSystem32winevtLogs目录下。以evtx后缀结尾。事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件查看器可以查看。安装python_Evtx直接使用如下命令安装即可。pip install python-evtx如果没有安装pip,下...
python 读取系统日志
weixin_42596214的博客
12-23 953
Python 中,可以使用标准库中的 logging 模块来读取系统日志。 例如,你可以使用 logging.getLogger() 函数获取一个日志记录器对象,然后使用该对象的 warning() 或 error() 等方法来记录警告或错误信息。 你还可以使用 logging.basicConfig() 函数来配置日志记录的格式和输出目的地(例如文件或控制台)。 下面是一个示例代码,展示了如...
windows主机日志分析(持续更新)
热门推荐
leeezp的博客
07-20 37万+
这篇文章记录windows事件和日志的对应关系。
win7产生大量evtx文件_Windows7/Vista下玩转老格式事件日志分析
weixin_42323034的博客
01-17 407
Win7之家(www.win7china.com):Windows7/Vista下玩转老格式事件日志分析【注意,本文不适合初级电脑用户】如果有一个,一个朋友对你说他的电脑出现了问题,可能,你需要去分析它的系统的事件日志。毕竟,在Windows系统里面,系统事件日志里面记录了太多的信息,应用程序的使用、崩溃等记录,Windows系统的各种事件记录等等。然而,当你的朋友把他的Windows目录下的日志...
组策略查看login记录_Windows系统日志查看管理
weixin_39663258的博客
01-17 1686
Windows系统日志简介Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。解决应急事件时,用户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。Windows事件日志文件实...
【hackmyvm】Slowman靶机
最新发布
woshicainiao666的博客
05-20 1851
发现/secretLOGIN/login.html为登录地址,根据账号密码登录发现一个zip,但是需要密码。在FTP中得到的账号,爆破一下SSH。上传linpeas.sh文件,报一下。SSH爆破无果,试试mysql。得到用户名和加密的密码。
python解析evtx文件
06-01
解析evtx文件,可以使用Python中的evtx模块。这个模块提供了解析Windows事件日志文件的功能。 首先需要安装evtx模块,可以使用pip命令来安装: ``` pip install python-evtx ``` 安装完成后,就可以使用evtx模块来解析evtx文件了。以下是一个示例代码: ```python import os import sys import argparse import logging import datetime from Evtx.Evtx import FileHeader from Evtx.Views import evtx_file_xml_view def main(): filename = "test.evtx" with open(filename, "rb") as f: fh = FileHeader(f) print(fh.format()) for xml, record in evtx_file_xml_view(f): print(xml) if __name__ == "__main__": main() ``` 需要注意的是,evtx文件可能会非常大,因此在解析时需要注意内存的使用情况。可以使用逐行读取的方式来避免一次性读入整个文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值