【script】python 解析 Windows日志(python-evtx)

已于 2022-04-18 14:38:06 修改
阅读量3.7k 收藏 7
点赞数
分类专栏: python编程 文章标签: python windows 开发语言
于 2022-02-13 23:00:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34965596/article/details/122915708
版权

Windows日志 模块安装

pip install python-evtx

Windows日志 解析源码

源码
import mmap
import contextlib
import datetime
import Evtx.BinaryParser
from Evtx.Evtx import FileHeader
from Evtx.Views import evtx_file_xml_view
from xml.dom import minidom
from pandas import DataFrame


def Log_Get(evtxpath):
    '''
    将 evt 日志文件解析成 Dataframe 数据
    :param evtxpath:evt 格式的日志路径
    :return:
    '''
    try:
        with open(evtxpath, 'r') as f:
            with contextlib.closing(mmap.mmap(f.fileno(), 0, access=mmap.ACCESS_READ)) as buf:
                content_list = []
                fh = FileHeader(buf, 0)

                # 遍历每条日志信息
                for xml, record in evtx_file_xml_view(fh):
                    content_dict = {}
                    domtree = minidom.parseString(xml)

                    # 获取事件标准信息(System)
                    content_dict['Channel'] = domtree.getElementsByTagName('Channel')[0].childNodes[0].data
                    content_dict['SystemTime'] = str(datetime.datetime.strptime(
                        domtree.getElementsByTagName('TimeCreated')[0].getAttribute('SystemTime')[:19],
                        '%Y-%m-%d %H:%M:%S') + datetime.timedelta(hours=8))
                    content_dict['EventID'] = domtree.getElementsByTagName('EventID')[0].childNodes[0].data
                    content_dict['Level'] = domtree.getElementsByTagName('Level')[0].childNodes[0].data
                    content_dict['UserID'] = domtree.getElementsByTagName('Security')[0].getAttribute('UserID')
                    # content_dict['ProcessID'] = domtree.getElementsByTagName('Execution')[0].getAttribute('ProcessID')
                    content_dict['Computer'] = domtree.getElementsByTagName('Computer')[0].childNodes[0].data

                    # 获取事件详情信息(EventData)
                    for data in domtree.getElementsByTagName('Data'):
                        if len(data.childNodes):
                            content_dict[data.getAttribute('Name') + '_EventData'] = data.childNodes[0].data

                    # 获取用户数据信息(UserData)
                    # EventData 与 UserData 一样都是3级子列表,都可以使用以下循环获取完整的日志信息。System 也可以,但需修改为2级
                    for eleone in domtree.getElementsByTagName('UserData'):
                        for eletwo in eleone.childNodes:
                            for elethree in eletwo.childNodes:
                                if elethree.childNodes != () and len(elethree.childNodes) == 1: # 也可能存在4级,直接忽略
                                    content_dict[elethree.tagName + '_UserData'] = elethree.childNodes[0].data

                    # 归档日志信息
                    content_list.append(content_dict)
            f.close()
        df = DataFrame(content_list).fillna('')  # 让 Nan 为空字符串
        # df = DataFrame(content_list).fillna('').sort_values(by=['SystemTime'])   # 按时间排序
        return df
    # 出现一些编码无法识别的日志文件,如果该日志不属于 ['Security', 'System', 'Setup'],则进行忽略
    except (Evtx.BinaryParser.OverrunBufferException, KeyError):
        if os.path.splitext(os.path.basename(evtxpath))[0] not in ['Security', 'System', 'Setup']:
            return DataFrame()
        else:
            raise

            
print(Log_Get('./Security.evtx'))

本文是以 Dataframe 结构输出数据,需要使用命令 “pip install pandas” 同时安装 pandas 模块。如无需要,以字典输出数据即可,“return df” 改为 “return content_list”。

解析

代码中的每个部分与事件查看器中xml形式的内容都是一一对应的,如下图所示:
在这里插入图片描述

参考链接

xml.dom — The Document Object Model API — Python 3.10.4 documentation

JohelLiang
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
python读取windows日志_Python取证技术(3): Windows 事件日志分析
weixin_34449520的博客
02-04 3291
Windows的事件日志都存放在 C:WindowsSystem32winevtLogs目录下。以evtx后缀结尾。事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件查看器可以查看。安装python_Evtx直接使用如下命令安装即可。pip install python-evtx如果没有安装pip,下...
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 3557
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
python-evtx: Python库,用于解析Windows事件日志文件
最新发布
gitblog_00083的博客
03-18 682
python-evtx: Python库,用于解析Windows事件日志文件 python-evtx是一个Python库,用于解析Windows事件日志(Event Log)文件(后缀名为 .evtx)。该库具有灵活性、高效性和易用性等特点,可用于安全分析、取证调查、系统监控等领域。 项目简介 windows-evtx 提供了对 evtx 文件的低级访问,并提供了高级 API 来帮助您解析 ev...
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析
05-04
python-evtx 介绍 python-evtx是用于最近的Windows事件日志文件(文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站查看Windows 7系统的事件日志。 结构定义和解析策略在很大程度上受到了Andreas Schuster和他的Perl实现“ Parse-Evtx”的启发。 背景 随着Windows Vista的发布,Microsoft引入了更新的事件日志文件格式。 Windows XP中使用的格式是记录结构的循环缓冲区,每个记录结构都包含一个字符串列表。 查看器解析了系统库文件中托管的模板,并将字符串插入了适当的位置。 较新的事件日志格式是专有的二进制XML。 从Windows 7的事件日志文件中解压缩块会得到具有可
Python库 | python-evtx-0.2.3.zip
05-26
资源分类:Python库 所属语言Python 资源全名:python-evtx-0.2.3.zip 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | evtx-0.6.11-cp38-cp38-manylinux1_x86_64.whl
05-31
资源分类:Python库 所属语言Python 使用前提:需要解压 资源全名:evtx-0.6.11-cp38-cp38-manylinux1_x86_64.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
WIN7/10下如何查看EVT格式操作系统日志
weixin_42925682的博客
08-25 661
Python解析EVT系统日志
使用logparser.exe将evtx日志转换为csv格式
allway2的博客
01-08 1545
logparser.exe "select * INTO SecurityExport.csv from 'C:\SecurityExport.evtx'" -i:EVT -headers:ON
Python-dplog用少量的代码输出漂亮的日志
08-10
dplog 用少量的代码输出漂亮的日志
Python-LogonTracer通过可视化和分析Windows事件日志来调查恶意Windows登录
08-10
通过查看和分析Windows活动目录事件日志来调查恶意登录。LogonTracer使用PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。
Python 写入训练日志文件并控制台输出解析
09-18
主要介绍了Python 写入训练日志文件并控制台输出解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
自己开发Windows日志获取源码
11-01
使用Java自己编写的获取Windows日志的程序,可以自行设置获取类型如:Security,application等类型,并且可以将其导入数据库,根据需求稍微修改即可
Python-pylogging一个围绕python日志模块的小封装可以很容易地格式化和写日志文件
08-10
pylogging一个围绕python日志模块的小封装可以很容易地格式化和写日志文件
Python解析windows系统日志文件
weixin_41038905的博客
06-19 6040
DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,并且包括在 Python 2.0 的标准 XML 支持里。 参考博客: python网络编程学习笔记:XML生成与解析 Python取证技术: Windows 事件日志分析 1.安装python_Evtx...
python读取windows日志_Python解析windows系统日志文件
weixin_39931362的博客
12-17 1405
DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,并且包括在 Python 2.0 的标准 XML 支持里。参考博客:python网络编程学习笔记:XML生成与解析Python取证技术: Windows 事件日志分析1.安装python_Evtx直接使用...
python解析evtx文件
06-01
解析evtx文件,可以使用Python中的evtx模块。这个模块提供了解析Windows事件日志文件的功能。 首先需要安装evtx模块,可以使用pip命令来安装: ``` pip install python-evtx ``` 安装完成后,就可以使用evtx模块来解析evtx文件了。以下是一个示例代码: ```python import os import sys import argparse import logging import datetime from Evtx.Evtx import FileHeader from Evtx.Views import evtx_file_xml_view def main(): filename = "test.evtx" with open(filename, "rb") as f: fh = FileHeader(f) print(fh.format()) for xml, record in evtx_file_xml_view(f): print(xml) if __name__ == "__main__": main() ``` 需要注意的是,evtx文件可能会非常大,因此在解析时需要注意内存的使用情况。可以使用逐行读取的方式来避免一次性读入整个文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值