Windows系统日志分析工具-- Log Parser

最新推荐文章于 2024-06-06 17:49:04 发布
最新推荐文章于 2024-06-06 17:49:04 发布
阅读量7.7k 收藏 14
点赞数 1
分类专栏: 应急响应 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38205354/article/details/122454417
版权

可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客  写完才看见。吐了

 0x01 基本设置 

事件ID及常见场景

 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。

4624  --登录成功   
4625  --登录失败  
4634 -- 注销成功
4647 -- 用户启动的注销   
4672 -- 使用超级用户(如管理员)进行登录

系统:
1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。

安全:
4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

例如:

1、管理员登录

 使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672的事件产生。

2、执行系统命令

Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子:

进程创建 C:\Windows\System32\cmd.exe 

进程创建 C:\Windows\System32\ipconfig.exe

进程终止 C:\Windows\System32\ipconfig.exe 

3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?

net us
最低0.47元/天 解锁文章
最佳卧底
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LogParser-超好用的IIS日志查看工具IISLog
12-01
**IIS日志分析工具——LogParser** 在IT运维领域,理解Web服务器的运行状态是至关重要的,而IIS(Internet Information Services)作为Windows操作系统下的Web服务器,其日志记录了丰富的请求信息。LogParser是一款...
日志与审计:LogParser的基本操作
study_46的博客
07-13 1005
1、 基础查询 查找Windows系统中的所有”安全”日志。 Security C:\>LogParser -i:EVT -o:NAT "SELECT * FROM Security" System C:\>LogParser -i:EVT -o:NAT "SELECT * FROM System" 2、查找特定的字段 查找Windows系统中的所有”安全”日志的TimeGenerated, EventTypeName, SourceName字段。 C:\>LogParser -i:E
应急响应之windows日志分析工具logparser使用
u013930899的博客
06-23 6413
windows日志分析工具logparser使用介绍
日志分析工具Log Parser详细安装
最新发布
Wudixiaoxiaolu的博客
06-06 277
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
日志分析-LogParser使用方法
weixin_41073877的博客
01-21 1万+
今天给大家介绍如果利用LogParserLogParser Studio 对常见的日志文件进行统计分析。 LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示,接下来给大家介绍下如何安装使用。 LogParser安装: 大家可以在微软官网下载、安装。安装过程很简单,一步到位。 下载链接:http://www
LogParser从入门到实战
热门推荐
a1b2c3是弱口令
12-20 2万+
1.概述: Log Parser(微软网站下载)是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 2.事件日志基础 2.1.Windows Logon Typ...
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
qq_51577576的博客
04-14 5070
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
Logparser的使用技巧及常见事件ID分析
dayouzi的博客
08-07 1418
logparser的语法其实挺简单,但是重点在于要获取什么信息?获取的信息代表什么含义?故此文重点在于日志字段代表含义。
Log Parser-开源
04-16
Log Parser 是一款强大的开源工具,专为日志分析而设计。它能够帮助用户从各种不同类型的日志文件中提取有价值的信息,无论是系统日志、应用程序日志还是安全日志,都能进行高效处理。通过Log Parser,用户可以轻松...
日志分析工具log parser
06-14
日志分析工具是IT系统管理和故障排查中不可或缺的利器,其中Log Parser是一个极其强大的日志分析工具,由微软开发并提供。...安装并熟悉这两个msi文件以及可能的可视化解析工具,将有助于你更好地管理和分析系统日志。
Log Parser 分析工具
02-08
og Parser是一款功能强大的多功能工具,可提供对基于文本的数据(例如日志文件,XML文件和CSV文件)以及Windows操作系统上的关键数据源(例如事件日志,注册表, 文件系统和ActiveDirectory的查询以及输出。...
LogParser2.2.10
04-13
在下载的压缩包中,包含的"LogParser-2.2.11.msi"文件是LogParser的安装程序。安装完成后,用户可以通过命令行界面启动LogParser,并使用简单的SQL语句来查询和分析日志。例如,以下是一个基本的查询示例,用于统计...
IIS日志分析工具 LogParserLizard
03-24
LogParserLizard就是这样一款强大的IIS日志分析工具,它结合了LogParser的强大功能,为用户提供了一种直观的图形化界面,使得日志分析工作更加高效便捷。 首先,LogParser是一个由微软开发的命令行工具,它可以解析...
LogParser.zip
01-12
总的来说,LogParser作为一款强大的日志分析工具,凭借其灵活的查询语法、广泛的适用性和丰富的功能,成为了Windows系统管理员的得力助手。无论是日常维护还是应对突发问题,LogParser都能帮助我们快速准确地获取和...
Infantry Log Parser-开源
05-13
在实际应用中,"Infantry Log Parser"可能对游戏爱好者、数据分析者或者想要学习如何处理日志数据的开发者特别有用。通过这个工具,用户不仅可以轻松查看和整理聊天记录,还可以进行进一步的数据分析,例如统计最常...
LogParser2.2+LogParserLizard
11-05
LogParser 2.2是由微软开发的一个强大的命令行工具,主要用于解析和分析各种结构化的文本数据,包括Windows事件日志、IIS日志、系统性能数据等。其核心功能在于能够通过SQL查询语法对这些数据进行检索和处理,提供了...
应急响应实战笔记——日志分析篇:① Windows 日志分析
君逍遥o
03-27 2505
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
探秘LogParser:日志解析利器,洞察数据背后的故事
gitblog_00028的博客
03-25 841
探秘LogParser:日志解析利器,洞察数据背后的故事 项目地址:https://gitcode.com/logpai/logparser 在大数据时代,日志数据是理解系统行为、诊断问题和优化性能的关键来源。LogParser是一个强大而灵活的日志解析工具,它可以帮助开发者从看似无序的日志文件中提取有价值的信息,使数据变得可读、可分析。 项目简介 LogParserLogPAI团队开发,它提...
windows日志分析-Log Parser工具使用
李安北的博客
05-24 9295
Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx 包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。 安全日志:%SystemRoot%\Syste
ua-parser-js 安装使用
06-07
安装 ua-parser-js 可以使用 npm 包管理器,运行以下命令即可安装: ``` npm install ua-parser-js ``` 使用 ua-parser-js 也非常简单,可以使用下面的代码获取解析后的设备信息: ``` import UAParser from 'ua-parser-js' const parser = new UAParser() const result = parser.getResult() console.log(result) ``` 其中,`parser.getResult()` 方法会返回一个对象,包含了设备的品牌、型号、操作系统信息、浏览器信息等。你可以根据需要来获取其中的属性值。例如,要获取设备型号可以使用 `result.device.model`,获取操作系统信息可以使用 `result.os.name`。具体的属性值可以参考 ua-parser-js 的文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值