应急响应之windows日志分析工具logparser使用

已于 2022-06-23 22:06:59 修改
阅读量7.4k 收藏 56
点赞数 10
分类专栏: 网络安全 运维 文章标签: 网络安全 windows
于 2022-06-23 21:59:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013930899/article/details/125435551
版权

目录

一、logparser简介

(一)logparser介绍

(二)下载链接

二、logparser安装

三、基本查询结构

四、使用Log Parser分析日志

(一)查询登录成功的事件

1. 登录成功的所有事件

2. 指定登录时间范围的事件

(二)提取登录成功的用户名和IP

(三)查询登录失败的事件

1. 登录失败的所有事件

2. 提取登录失败用户名进行聚合统计

(四)系统历史开关机记录

(五)查询哪些账号登陆失败的原因

五、常见事件ID

一、logparser简介

(一)logparser介绍

        在windows事件查看器海量的日志中定位想要的一条记录不是简单的事情,logparser是微软官方提供的日志分析工具,可以很好的帮我们解决这个难题,我常用来定位登陆失败账号或者定位锁定账户日志,在应急响应场景中使用频率高。

(二)下载链接

https://www.microsoft.com/en-us/download/details.aspx?id=24659

二、logparser安装

        保持默认安装即可。

三、基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

        -i指定输入源格式,-o指定输出格式,剩下的就是sql语句搞定的事情了。

四、使用Log Parser分析日志

(一)查询登录成功的事件

1. 登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where EventID=4624"

2. 指定登录时间范围的事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

(二)提取登录成功的用户名和IP

LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM D:\Security.evtx where EventID=4624"

(三)查询登录失败的事件

1. 登录失败的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\lock.evtx where EventID=4625"

2. 提取登录失败用户名进行聚合统计

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,13,'|')  as EventType,EXTRACT_TOKEN(Strings,19,'|') as user,count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,39,'|') as Loginip FROM D:\lock.evtx where EventID=4625 GROUP BY Strings"

(四)系统历史开关机记录

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

(五)查询哪些账号登陆失败的原因

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,5,'|')  as User ,EXTRACT_TOKEN(Strings,19,'|') as LoginIp,EXTRACT_TOKEN(Strings,8,'|') as Reason  FROM D:\lock.evtx where User='test' and  EventID=4625 GROUP BY Strings "

        解释:

        %%2307代表账号被锁定。

        EXTRACT_TOKEN(Strings,5,'|')函数是提取Strings中以|为分隔符的第5个值。

五、常见事件ID

事件ID 说明
1102清理审计日志
4624账号成功登陆
4625账号登陆失败
4768kerberos身份认证(TGT请求)
4769kerberos服务票证请求
4776NTLM身份验证
4672 授予特殊权限
4720创建用户
4726删除用户
4728将成员添加到启用安全的全局组中
4729将成员从安全的全局组中移除
4732将成员添加到启用安全的本地组中
4733将成员从安全的本地组中移除
4756将成员添加到启用安全的通用组中
4757将成员从安全的通用组中移除
4719系统审计策略修改

LogParser日志分析工具使用
afei001
07-27 919
一.LogParser介绍 Log Parser是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)、EVT,ETW,NETMON,REG,ADS,TEXTLINE,TEXTWORD,FS和COM等文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 LogParser微软官网下载地址:h...
Logparser的用法
chuyan3936的博客
03-14 731
下载安装 Logparser是一款非常强大的日志分析软件,可以帮助你详细的分析网站日志。是所有数据分析和网站优化人员都应该会的一个软件。Logparser是微软的一款软件完全免费的,大家可以在微软的官网上去下载,下载地址:http://www.microsoft.com/en-us/downl...
Log Parser Studio V2 下载仓库
最新发布
gitblog_06763的博客
04-14 718
Log Parser Studio V2 下载仓库 【下载地址】LogParserStudioV2下载仓库 Log Parser Studio V2 是一款专为日志分析设计的图形用户界面工具,基于强大的 Log Parser 2.2 引擎开发。它支持多种日志格式,帮助用户轻松查询、筛选和分析海量日志数据,无需编写复杂的命...
日志分析-LogParser使用方法
热门推荐
weixin_41073877的博客
01-21 2万+
今天给大家介绍如果利用LogParserLogParser Studio 对常见的日志文件进行统计分析。 LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示,接下来给大家介绍下如何安装使用LogParser安装: 大家可以在微软官网下载、安装。安装过程很简单,一步到位。 下载链接:http://www
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
qq_51577576的博客
04-14 8496
[ 应急响应篇基础 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
Logparser使用技巧及常见事件ID分析
dayouzi的博客
08-07 2499
logparser的语法其实挺简单,但是重点在于要获取什么信息?获取的信息代表什么含义?故此文重点在于日志字段代表含义。
日志分析工具Log Parser使用以及配合login工具使用(学习记录)
weixin_74075073的博客
02-19 2314
LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在基于文本的自定义格式中、SQL或者是利用各种图表进行展示,这里详细讲解其安装方式及配合login工具使用。将提取出来的日志,放到logon下的data里面(如果存在之前的日志需要全部删除),这里就没有将如提取何了,提取可以使用evtx,也可以手动提取。4624 登录成功 有远程登录的 ip和 客户端名。
应急响应一:logparser基本用法介绍
foryouslgme的博客
01-14 699
logparser是一个日志解析器,是一个强大且多功能的工具,它可将基于文本的数据(如日志文件、XML文件和CSV文件)以及Windows®操作系统上的关键数据源(如事件日志、注册表、文件系统和Active Directory®)提供通用的查询访问。
日志分析工具-应急响应实战笔记
jihaichen的博客
10-23 1026
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、 CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句 一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
windows日志分析工具
09-12
这使得LogParser.exe成为windows日志分析工具中的核心组件之一,为用户提供了强大的数据分析能力。 接下来,windowslog-local.exe和windowslog.exe这两个文件的具体功能在没有更多的上下文信息的情况下难以详细界定...
logparser日志分析详解
qq_26243045的博客
02-15 1181
Logparser是微软的一款日志分析工具使用方便功能强大。 支持的日志类型: IISW3C,NCSA,IIS,IISODBC,BIN,IISMSID,HTTPERR,URLSCAN,CSV,TSV,W3C,XML,EVT, ETW,NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS,COM
LogParser IIS分析工具以及使用教程
01-21
LogParser IIS分析工具以及使用教程。 通俗易懂的使用说明。
log-parser
03-19
日志解析器 创建该项目是为了使我们能够分析和分析日志文件以收集相关数据。它可以按原样使用或用作SDK。您可以在其中定义自己的解析。 使用此库的基本方法是为解析创建一个定义。此定义使您可以解析一组日志文件并提取与该模式匹配的所有条目。 定义解析 每个解析定义包括: 标题 一组条目 允许我们创建清晰密钥的填充 用于定义密钥的密钥顺序 定义一个条目 解析定义的每个条目都允许我们定义: 将找到的值的标题。 包含值的字符串的开始模式(如果在行的开头,则为null) 包含值的字符串的结束模式(如果在行的末尾,则为null) 区分大小写的搜索 是要保持的。在某些情况下,我们只需要查找具有某些特殊性的行,但实际上并不需要存储该值 使用标准方法 默认情况下,滞后分析的每个条目都将存储为通用条目。这意味着所有值都将存储为字符串。每个条目都有一个: 钥匙 一组价值观 日志中的密钥频率 使用SDK 使用日志解析器
Log Parser 分析工具
02-08
og Parser是一款功能强大的多功能工具,可提供对基于文本的数据(例如日志文件,XML文件和CSV文件)以及Windows操作系统上的关键数据源(例如事件日志,注册表, 文件系统和ActiveDirectory的查询以及输出。...
Logparser 项目使用教程
gitblog_00315的博客
09-03 554
Logparser 项目使用教程 logparsernielsbasjes/logparser: 是一个用于 Java 和 Gremlin 的日志处理库。适合对 Java 和日志处理有兴趣的人,特别是想实现高效日志处理的人。特点是提供了一个 Java 和 Gremlin 的日志处理库和示例代码,包括日志收集、日志分析和日志可视化工具有很高的参考价值。项目地址:https://gitcode.co...
logparser使用
shangMD01的博客
12-16 1392
官网下载logparser工具: 解压到 打开logparser:在win搜索管理员运行 查看当前日志所支持的字段: LogParser.exe -h -i:evt 最基本的格式:LogParser–i:输入文件的格式–o:输出格式“SQL语句” 执行命令: LogParser.exe -i:EVT –o:DATAGRID "SELECT EventID, TimeGenerated as LoginTime, EXTRACT_TOKEN(Strings,5,'|'...
使用LogParser分析网站运行情况(比较简单)
06-15 257
使用LogParser分析网站运行情况(比较简单) 问题的提出 在经过若干天的辛苦劳动,你的网站终于上线了,虽然你的用户没有任何报怨,似乎你的程序也没有任何Bug。但是它真的像你想的那样运行的这么好吗?每天有多少个IP地址访问你的网站?你的网站经常被访问的页面哪些?这些页面载入需要花费多少时间?哪些页面是最慢的? IIS日志 ...
logparser使用小结
weixin_30872337的博客
07-25 315
1、导出为execl能打开的格式logparser -i:evt -o:csv "select * from c:\sec.evt" > d:sec.csvlogparser -i:evt -o:csv "select * from security" > d:sec.csvlogparser -i:evt -o:nat "select * into a.txt from ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

見贤思齊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值