[Windows运维]筛选Windows事件日志

最新推荐文章于 2024-05-13 05:16:10 发布
最新推荐文章于 2024-05-13 05:16:10 发布
阅读量3k 收藏 1
点赞数
分类专栏: Windows运维 文章标签: Windows运维  sysmon 筛选
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nishuodeqianshou/article/details/90482620
版权

Step:

1.打开Windows事件查看器(开始->运行->eventvwr.msc)

2.Sysmon的安装(可以监视系统的一切行为)

参考如下:https://www.freebuf.com/sectool/122779.html

3.使用筛选器查看我们想查看的事件,比如都有哪些进程被创建?EventID=1.创建进程的事件很多啊,怎样过滤多余的事件?

选择右侧'筛选当前日志'--->筛选器,XML选择xml,编辑其中内容。如果想编辑其中内容,需要先了解下日志事件的格式,如下所示:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" /> 
  <EventID>1</EventID> 
  <Version>5</Version> 
  <Level>4</Level> 
  <Task>1</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8000000000000000</Keywords> 
  <TimeCreated SystemTime="2019-05-23T08:08:17.283645500Z" /> 
  <EventRecordID>2317368</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="1452" ThreadID="3616" /> 
  <Channel>Microsoft-Windows-Sysmon/Operational</Channel> 
  <Computer>chz-xinandianzi</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
- <EventData>
  <Data Name="RuleName" /> 
  <Data Name="UtcTime">2019-05-23 08:08:17.267</Data> 
  <Data Name="ProcessGuid">{F5D5875E-54F1-5CE6-0000-001082F0B91A}</Data> 
  <Data Name="ProcessId">12304</Data> 
  <Data Name="Image">C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe</Data> 
  <Data Name="FileVersion">12.00.52519.0 built by: VSWINSERVICING</Data> 
  <Data Name="Description">Microsoft® Resource File To COFF Object Conversion Utility</Data> 
  <Data Name="Product">Microsoft® .NET Framework</Data> 
  <Data Name="Company">Microsoft Corporation</Data> 
  <Data Name="CommandLine">C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\MANAGE~1.ECS\AppData\Local\Temp\RES80D5.tmp" "c:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\CSC1E0FBC0A32F44D46B12F06D8F24F1B5.TMP"</Data> 
  <Data Name="CurrentDirectory">C:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\</Data> 
  <Data Name="User">CHZ-XINANDIANZI\ManagedAdmin</Data> 
  <Data Name="LogonGuid">{F5D5875E-70BA-5CE3-0000-00209FCF1400}</Data> 
  <Data Name="LogonId">0x14cf9f</Data> 
  <Data Name="TerminalSessionId">2</Data> 
  <Data Name="IntegrityLevel">High</Data> 
  <Data Name="Hashes">SHA1=31B7A087F3C0325D11F8DE298F2D601AB8F94897</Data> 
  <Data Name="ParentProcessGuid">{F5D5875E-54F1-5CE6-0000-00103FE4B91A}</Data> 
  <Data Name="ParentProcessId">16064</Data> 
  <Data Name="ParentImage">C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe</Data> 
  <Data Name="ParentCommandLine">"C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\ManagedAdmin.ECS-WIN2012R2-0\AppData\Local\Temp\schitso3\schitso3.cmdline"</Data> 
  </EventData>
  </Event>

我现在想过滤 创建进程事件,同时CurrentDirectory不是C:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\这个的事件列表,筛选条件如下所示:

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
    <Select Path="Microsoft-Windows-Sysmon/Operational">
*[System[(EventID=1)]] 
and
*[EventData[Data[@Name='CurrentDirectory']!='C:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\']]
</Select>
  </Query>
</QueryList>

又比如想查看某段时间的事件?

*[System[(EventID=1) and TimeCreated[@SystemTime&gt;='2019-05-21T20:00:31.000Z' and @SystemTime&lt;='2019-05-21T20:50:31.999Z']]]

 

参考文档:

https://blog.51cto.com/yoke88/2320358?source=dra

请叫我大聪明~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 的审计跟踪Log
远有青山
09-24 1万+
Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 3717
windows暴破事件日志
Windows应急响应 -Windows日志排查,系统日志,Web应用日志,_系统日志事件104自动删除日志
最新发布
2401_84972893的博客
05-13 970
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Windows系统日志参数传递
passerby_b的博客
11-26 1144
WindowsEventLog中日志的参数如何传递,任务计划获取日志参数,读取日志中的参数。
DNS Client Events 1014
msgsun的博客
08-05 7740
日志名称: System 来源: Microsoft-Windows-DNS-Client 日期: 2018/4/14 10:20:16 事件 ID: 1014 任务类别: (1014) 级别: 警告 关键字: (268435456) 用户: NETWORK SERVICE 计算机: DESKTOP-D2SBO4V 描述: 在没有...
WIN11系统出现 WHEA-Logger 事件1 请大佬协助排除此故障原因,谢谢您!
weixin_57147281的博客
10-18 2656
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">- <System> <Provider Name="Microsoft-Windows-WHEA-Logger" Guid="{c26c4f3c-3f66-4e99-8f8a-39405cfed220}" /> <EventID>1</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task>
服务器系统事件1014,事件ID1014
weixin_31134719的博客
07-31 4282
日志名称: System来源: Microsoft-Windows-DNS-Client日期: 2012/5/10 14:54:26事件 ID: 1014任务类别: 无级别: 警告关键字:用户: NETWORK SERVICE计算机: go...
Windows日志外发配置
05-18
总之,Windows日志外发配置是提高IT运维效率的重要手段,通过正确使用evntlog工具,可以实现日志的远程收集和分析,帮助快速定位和解决问题。理解并掌握这一技术,对于任何IT专业人士来说都是非常有价值的。
windows server进程内存占用及CPU使用率自动监控并记录脚本
05-21
总结来说,"windows server进程内存占用及CPU使用率自动监控并记录脚本"是一种实用的运维工具,它通过集成`Tasklist`和`WMIC`命令,定期收集并记录服务器上特定进程的资源使用情况,有助于快速定位和解决性能问题。...
windows syslog server测试工具
07-06
4. **日志存储与查询**:保存日志到本地数据库或文件,支持快速查询和筛选,便于历史数据回溯和分析。 5. **报表与统计**:生成日志统计报告,如按时间段、设备、事件类型等维度进行统计,帮助用户识别网络状态和...
Dlt Viewer 支持Windows 64、32位操作系统
01-29
这种便携式设计使得DltViewer成为IT运维人员的得力助手,无论是在办公室还是远程工作环境中,都能快速查看和处理日志信息。 对于Windows用户来说,DltViewer兼容性极强,无论是最新的64位Windows 10,还是较老的32...
Windows网络服务器配置-应用组策略.ppt
11-01
通过这些工具,可以执行诸如配置组策略、更新系统、查看事件日志等任务。 本地安全策略和组策略是Windows安全体系的重要组成部分。本地安全策略用于设置账户策略(如密码策略、账户锁定策略)、本地策略(如审核...
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
WeiyiGeek 唯一极客IT知识分享
04-11 831
wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。wevtutil 命令工具包含在 %windir%\x5cSystem32 目录中,主要用于在计算机上注册提供程序的命令行实用工具, 还可以使用它来获取有关提供程序、其事件及其记录事件的通道的元数据信息,以及从通道或日志文件查询事件。路径下,但不支持使用文本编辑器打开。
Windows-WMI 事件 ID 10或0x80041003 死机 解药
dmzykgnd33340的博客
11-12 3660
最近笔记本重复了好几次奇怪的现象,重启后进入桌面,然后死机,木有蓝屏。 后来在安全模式里查了事件,如下 日志名称: Application 来源: Microsoft-Windows-WMI 日期: 2017-11-11 22:08:41 事件 ID: 10 任务类别: 无...
(win11电脑卡住后重启)无法找到来自源 Application Popup 的事件 ID 56 的描述。本地计算机上未安装引发此事件的组件,或者安装已损坏。可以安装或修复本地计算机上的组件。如
2301_80843055的博客
11-02 2465
有大佬看下是什么问题吗?
Windows explorer.exe反复崩溃恢复
weixin_42943220的博客
02-04 4342
今天,我一次重启之后,突然发现explorer隔一会儿(一两分钟)就会重启。我在网上搜索,看见有人说看日志(此处感谢系统城) 于是打开日志查看器,发现有一堆错误: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="...
Visual Studio 2013 无法启动 IIS Express 的解决办法
weixin_30636089的博客
07-11 162
不能为 [::]:64090 绑定到下面的传输。IP 仅侦听列表可能包含到一个接口的引用,该接口在此计算机上不存在。数据字段包含错误号。 以上是 IIS Express 启动失败后,在 Windows 事件查看器中的错误日志信息。错误的详细信息的XML版本,我也附在下面: <?xml version="1.0" encoding="utf-8"?> ...
windows运维和Linux运维
03-31
Windows运维和Linux运维是两种不同的IT领域,分别涉及到不同的操作系统和技术。下面是它们之间的一些主要区别: 1. 操作系统:Windows运维主要涉及Windows操作系统的管理和维护,而Linux运维则主要涉及Linux操作系统的管理和维护。 2. 命令行:Linux运维更倾向于使用命令行界面,而Windows运维则更倾向使用图形用户界面。 3. 软件安装:在Linux中,运维人员可以通过命令行方式轻松地安装、更新、卸载软件。而在Windows中,则更多地使用图形用户界面来完成这些操作。 4. 开源:Linux是开源的操作系统,意味着所有的代码都可以被公开查看、修改和分发。而Windows则是闭源的操作系统,无法被公开查看或修改。 5. 安全性:Linux运维人员更多地关注系统的安全性。由于Linux是开源的,任何人都可以查看其源代码,因此可以更容易地发现和解决潜在的安全漏洞。而Windows则在过去被攻击者频繁攻击,因此Windows运维人员需要更多地关注系统的安全性。 总之,Windows和Linux的运维都有各自的优势和劣势,取决于具体的应用场景和需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值