使用Log Parser分析日志

最新推荐文章于 2024-06-15 09:48:43 发布
最新推荐文章于 2024-06-15 09:48:43 发布
阅读量1.2k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sforce/article/details/109244747
版权

我们可以对windows日志进行分析 比如我们分析域控日志的时候,想要查询账户登陆过程中,用户正确,密码错误的情况,我们需要统计出源IP,时间,用户名时,我们可以这么写:

SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675

 

使用Log Parser分析日志

1、查询登录成功的事件

登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4624"

指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登录成功的用户名和IP:
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"

2、查询登录失败的事件

登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4625"

提取登录失败用户名进行聚合统计:
LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:Security.evtx where EventID=4625 GROUP BY Message"

3、系统历史开关机记录:

LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"

 

 

键盘上的小怪兽GG
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows系统日志分析工具-- Log Parser
qq_38205354的博客
01-12 7838
可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客 写完才看见。吐了 0x01 基本设置 事件ID及常见场景 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件ID查看计算机的开机、关...
logparser:用于自动日志解析的工具包[ICSE'19,TDSC'18,DSN'16]
05-02
Logparser Logparser提供了用于自动日志解析的工具包和基准,这是迈向结构化日志分析的关键一步。 通过应用logparser,用户可以从非结构化日志中自动学习事件模板,并将原始日志消息转换为一系列结构化事件。 在文献中,日志解析的过程有时称为消息模板提取,日志键提取或日志消息聚类。 日志解析的说明性示例 :backhand_index_pointing_right: 阅读文档: : :telescope: 如果您在研究中使用我们的任何工具或基准进行发表,请引用以下论文。 [ ICSE'19 ]朱杰明,何士林,刘金阳,何品佳,谢琪,郑子斌,刘嘉.。 。 国际软件工程大会(ICSE) ,2019。 [ DSN'16 ]何品佳,朱杰明,何士林,李健,Michael R. Lyu。 。 IEEE / IFIP可靠系统和网络国际会议(DSN) ,2016年。 当前可用的日志解析器: 工具 参考 SLCT [ IPOM'03 ] ,作者:Ri
Logparser
Wang的博客
09-15 485
文章目录Logparser简介使用安装作为service运行通过命令启动查看当前状态获取某个爬虫人物的日志分析详情 Logparser 简介 Github 在scrapyweb中解析scrapyd的日志 logparser库的工作原理是每隔一段时间(默认10s)查看一下日志文件夹,然后解析,并生成stats.json文件。scrapyd在开启了端口后可以访问scrapyd的目录,因此可以在不修改scrapyd的情况下对日志解析 使用 安装 pip install logparser 或者
探索日志分析新境界:Logparser —— 开源日志解析利器
最新发布
gitblog_00016的博客
06-15 894
探索日志分析新境界:Logparser —— 开源日志解析利器 项目地址:https://gitcode.com/lucianmarin/logparser 在当今的数字时代,日志数据的解析与分析是了解网站性能、用户行为以及安全状况不可或缺的一环。为此,我们向您隆重介绍Logparser——一个专为处理常见日志格式(特别是Nginx默认格式)设计的命令行工具,它将引领您高效探索日志中的宝贵信息。 ...
Logparser 的用法
altzlo7909的博客
09-22 166
Logparser是一款非常强大的日志分析软件,可以帮助你详细的分析网站日志。是所有数据分析和网站优化人员都应该会的一个软件。Logparser是微软的一款软件完全免费的,大家可以在微软的官网上去下载,下载地址: http://www.microsoft.com/en-us/download/details.aspx?id=24659 下载后安装也非常简单,只要按照步骤去安装...
LogParser工具
07-13
LOsparser是一个日志文件分析的简单又强大工具
GitHub--logparser(日志解析器)
Knight
03-04 1902
Apache HTTPD和NGINX访问日志解析器 这是一个Logparsing框架,旨在简化Apache HTTPD和NGINX访问日志文件的解析。 基本思想是,您应该能够拥有一个解析器,可以通过简单地告诉该行写入了哪些配置选项来构造该解析器。这些配置选项是访问日志行的架构。 github地址:https://github.com/nielsbasjes/logparser idea安装插件 Lombok能以简单的注解形式来简化java代码,提高开发人员的开发效率。例如开发中经常需要写的javabean,
LogParser 日志查看工具
09-18
LogParser 是一个命令行工具,可以通过SQL 语句日志进行分析统计
logparser使用:解析nginx-access.log文件
码上中年的博客
04-13 1577
1. java-maven加入依赖 <dependency> <groupId>nl.basjes.parse.httpdlog</groupId> <artifactId>httpdlog-parser</artifactId> <version>5.7</version> </dependency> 2. 定义log日志格式 2.1 理解nginx的access.log文件 ngin
windows日志分析Log Parser使用记录
YouthBelief的博客
11-18 4086
常见事件ID 4778,4779 会话重连或者端口 有远程登录的 ip和 客户端名 4624 登录成功 有远程登录的 ip和 客户端名 4625 登录失败 服务器是否在受到暴力破解 安装 下载地址 https://www.microsoft.com/en-us/download/details.aspx?id=24659 双击安装包 中间选择 custom setup 默认位置 安装好 导入环境变量 C:\Program Files (x86)\Log Parser 2.2 使用 cmd 查看
日志分析工具 LogParser 学习笔记
Memetali_ss的博客
04-05 6374
1.LogParser是什么? 官方文档解释:log Parser是一款功能强大的多功能工具,可提供对基于文本的数据(例如日志文件,XML文件和CSV文件)以及Windows®操作系统上的关键数据源(例如事件日志,注册表, 文件系统和ActiveDirectory®的查询以及输出。 您可以告诉Log Parser所需的信息以及处理方式。 查询结果可以在基于文本的自定义格式中输出,也可以持...
windows日志分析-Log Parser工具使用
李安北的博客
05-24 9494
Windows 主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志 系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。 应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx 包含由应用程序或系统程序记录的事件,主要记录程序运行程序方面的事件。 安全日志:%SystemRoot%\Syste
日志分析工具Log Parser介绍
weixin_30664539的博客
03-22 1515
摘要: 微软动态CRM专家罗勇 ,回复321或者20190322可方便获取本文,同时可以在第一间得到我发布的最新博文信息,follow me! 分析Dynamics 365 Customer Engagement性能有时候需要分析前端服务器的IIS Log,这时候可以用一个工具,就是 Log Parser,下载地址是https://www.microsoft.com/en-us/downloa...
logparser使用
shangMD01的博客
12-16 1286
官网下载logparser工具: 解压到 打开logparser:在win搜索管理员运行 查看当前日志所支持的字段: LogParser.exe -h -i:evt 最基本的格式:LogParser–i:输入文件的格式–o:输出格式“SQL语句” 执行命令: LogParser.exe -i:EVT –o:DATAGRID "SELECT EventID, TimeGenerated as LoginTime, EXTRACT_TOKEN(Strings,5,'|'...
应急响应之windows日志分析工具logparser使用
u013930899的博客
06-23 6561
windows日志分析工具logparser使用介绍
日志分析工具Log Parser详细安装
Wudixiaoxiaolu的博客
06-06 327
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
qq_51577576的博客
04-14 5646
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
Log Parser 和 C# 打造网站访问统计分析系统
LHHfp2013的博客
11-20 283
Log Parser(本地下载 微软网站下载)是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 Log Parser 的安装很简单,没有什么特别的,...
LogParser安装
08-30
要安装 LogParser,您可以按照以下步骤进行操作: ...现在,您已经成功安装 LogParser,并可以使用它来分析查询各种日志文件了。请注意,LogParser 支持多种查询语言和日志格式,您可以根据需要进行学习和使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值