Python处理Windows事件日志(json)

最新推荐文章于 2024-05-27 17:00:50 发布
最新推荐文章于 2024-05-27 17:00:50 发布
阅读量1k 收藏 2
点赞数
文章标签: python 操作系统 json

通过NXlog将Windows事件日志保存为json格式文件,然后在Python中使用json.loads()进行处理。

NXlog在将Windows事件日志保存为json格式文件,文件中带入了BOM编码格式,所以需要使用decode("utf-8-sig")先对源数据进行处理,否则json.loads()会提示 "No JSON object could be decoded" 错误

文件中每一条事件日志包含有中文、\r\n\t字符,所以在通过json.loads()处理时需要注意转换:

import struct,os,json
file='E:\\logtest\\sec_PC-L_20160518153838.json'

with open(file,'rb') as fo:
    for f in fo:
        fj = json.loads(f.decode("utf-8-sig"),strict=False)
        print fj['Message'].encode('u8')
        #print fj['Message'].encode('gbk')

json.loads(f.decode("utf-8-sig"),strict=False,encoding='u8')

utf-8和utf-8-sig区别:

UTF-8以字节为编码单元,它的字节顺序在所有系统中都是一様的,没有字节序的问题,也因此它实际上并不需要BOM(“ByteOrder Mark”)。但是UTF-8 with BOM即utf-8-sig需要提供BOM。

 

sec_PC-L_20160518153838.json文件内容如下:

{"EventTime":"2016-05-13 08:51:01","Hostname":"PC-L","Keywords":-9214364837600034816,"EventType":"AUDIT_SUCCESS","SeverityValue":2,"Severity":"INFO","EventID":4634,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12545,"OpcodeValue":0,"RecordNumber":1053242,"ProcessID":776,"ThreadID":20412,"Channel":"Security","Message":"已注销帐户。\r\n\r\n使用者:\r\n\t安全 ID:\t\tS-1-5-21-3510791965-1333398612-533843580-1003\r\n\t帐户名:\t\ttaskuser\r\n\t帐户域:\t\tPC-L\r\n\t登录 ID:\t\t0x2305C35\r\n\r\n登录类型:\t\t\t4\r\n\r\n在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。","Category":"注销","Opcode":"信息","TargetUserSid":"S-1-5-21-3510791965-1333398612-533843580-1003","TargetUserName":"taskuser","TargetDomainName":"PC-L","TargetLogonId":"0x2305c35","LogonType":"4","EventReceivedTime":"2016-05-18 15:38:35","SourceModuleName":"secin","SourceModuleType":"im_msvistalog"}
{"EventTime":"2016-05-13 08:51:20","Hostname":"PC-L","Keywords":-9214364837600034816,"EventType":"AUDIT_SUCCESS","SeverityValue":2,"Severity":"INFO","EventID":4648,"SourceName":"Microsoft-Windows-Security-Auditing","ProviderGuid":"{54849625-5478-4994-A5BA-3E3B0328C30D}","Version":0,"Task":12544,"OpcodeValue":0,"RecordNumber":1053243,"ActivityID":"{105E3485-AC11-0003-9734-5E1011ACD101}","ProcessID":776,"ThreadID":19588,"Channel":"Security","Message":"试图使用显式凭据登录。\r\n\r\n使用者:\r\n\t安全 ID:\t\tS-1-5-21-3510791965-1333398612-533843580-500\r\n\t帐户名:\t\tAdministrator\r\n\t帐户域:\t\tPC-L\r\n\t登录 ID:\t\t0x56C28\r\n\t登录 GUID:\t\t{00000000-0000-0000-0000-000000000000}\r\n\r\n使用了哪个帐户的凭据:\r\n\t帐户名:\t\tliuyan1\r\n\t帐户域:\t\tuxin\r\n\t登录 GUID:\t\t{00000000-0000-0000-0000-000000000000}\r\n\r\n目标服务器:\r\n\t目标服务器名:\tILX-IDC-ExFE02.uxin.youxinpai.com\r\n\t附加信息:\tILX-IDC-ExFE02.uxin.youxinpai.com\r\n\r\n进程信息:\r\n\t进程 ID:\t\t0x13c0\r\n\t进程名:\t\tC:\\Program Files (x86)\\Microsoft Office\\Office15\\OUTLOOK.EXE\r\n\r\n网络信息:\r\n\t网络地址:\t-\r\n\t端口:\t\t\t-\r\n\r\n在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。","Category":"登录","Opcode":"信息","SubjectUserSid":"S-1-5-21-3510791965-1333398612-533843580-500","SubjectUserName":"Administrator","SubjectDomainName":"PC-L","SubjectLogonId":"0x56c28","LogonGuid":"{00000000-0000-0000-0000-000000000000}","TargetUserName":"liuyan1","TargetDomainName":"uxin","TargetLogonGuid":"{00000000-0000-0000-0000-000000000000}","TargetServerName":"ILX-IDC-ExFE02.uxin.youxinpai.com","TargetInfo":"ILX-IDC-ExFE02.uxin.youxinpai.com","ProcessName":"C:\\Program Files (x86)\\Microsoft Office\\Office15\\OUTLOOK.EXE","IpAddress":"-","IpPort":"-","EventReceivedTime":"2016-05-18 15:38:35","SourceModuleName":"secin","SourceModuleType":"im_msvistalog"}
weixin_34413802
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python爬取网页json数据_python爬取json数据库
weixin_39621794的博客
12-22 3882
手把手教你使用Python抓取QQ音乐数据(第一弹)【一、项目目标】获取 QQ 音乐指定歌手单曲排行指定页数的歌曲的歌名、专辑名、播放链接。由浅入深,层层递进,非常适合刚入门的同学练手。【二、需要的库】主要涉及的库有:requests、json、openpyxl【三、项目实现】1.了解 QQ 音乐网站的 robots 协议只禁止...文章python进阶者2020-04-25968浏览量数据挖掘敲...
[Python] 第三方日志框架loguru的介绍、安装和使用案例
老狼工作室的博客
12-12 1204
本文介绍了python的第三方日志框架loguru的安装,基本使用和使用技巧
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python
【script】python 解析 Windows日志python-evtx)
qq_34965596的博客
02-13 3665
Windows日志 模块安装 pip install python-evtx Windows日志 解析源码 源码 import mmap import contextlib from Evtx.Evtx import FileHeader from Evtx.Views import evtx_file_xml_view from xml.dom import minidom def log_get(evtxpath): with open(evtxpath, 'r') as f:
python-evtx: Python库,用于解析Windows事件日志文件
gitblog_00083的博客
03-18 549
python-evtx: Python库,用于解析Windows事件日志文件 python-evtx是一个Python库,用于解析Windows事件日志(Event Log)文件(后缀名为 .evtx)。该库具有灵活性、高效性和易用性等特点,可用于安全分析、取证调查、系统监控等领域。 项目简介 windows-evtx 提供了对 evtx 文件的低级访问,并提供了高级 API 来帮助您解析 ev...
Windows 系统下json 格式的日志文件发送到elasticsearch
weixin_30781775的博客
03-25 128
Windows 系统下json 格式的日志文件发送到elasticsearch配置 Nxlog-->logstash-->ElasticSearch Logstash https://www.elastic.co/guide/en/logstash/current/codec-plugins.html Elasticsearch https://www.elast...
删除Windows10事件查看器中的所有日志小程序
06-04
删除win10事件查看器中的所有日志.BAT
Python制作Windows系统服务Python制作Windows系统服务
崛起的小草
11-22 2562
最近有个Python程序需要安装并作为Windows系统服务来运行,过程中碰到一些坑,整理了一下。
Python xml格式转json格式 json格式转xml格式详解,并附打包好的可执行exe
weixin_38080856的博客
02-25 1631
Python 把 xml 转换成 jsonjson转换成xml
python3教程:json、pickle和sqlite3持久化存储字典对象
Python热爱者的博客
06-22 1034
在各种python的项目中,我们时常要持久化的在系统中存储各式各样的python的数据结构,常用的比如字典等。尤其是在云服务类型中的python项目中,要持久化或者临时的在缓存中储存一些用户认证信息和日志信息等,最典型的比如在数据库中存储用户的token信息。在本文中我们将针对三种类型的python持久化存储方案进行介绍,分别是json、pickle和python自带的数据库sqlite3。...
logzero:适用于Python 2和3的健壮且有效的日志记录
04-06
JSON日志记录(带有集成的 ) 漂亮的格式,包括控制台中特定于级别的颜色。 没有依赖关系支持的Windows颜色输出强大的str / bytes编码问题,适用于各种字符编码和特殊字符。 多个记录器可以写入同一个日志文件(也...
evtx:Windows XML事件日志(EVTX)格式的快速(安全)解析器
04-29
:sparkles: 支持XML和JSON输出,两者均直接从令牌树构造并且彼此独立(不执行xml2json转换!) :pick: 支持丢失记录/块的一些基本恢复! :snake: Python绑定也可以在 (以及PyPi )上获得。 安装(关联的二进制...
extractors:即插即用提取器,可将不同的日志事件转换为通用的DNIF数据模型(DDM)
04-19
dnif提取器即插即用提取器,可将不同的日志事件转换为通用的DNIF数据模型(DDM)提取器截至08-04-2021 设备类型小贩产品一体化溪流作业系统微软Windows(nxlog) NXLog(JSON) 身份验证,IAM,SYSMON过程,SYSMON...
viztracer:VizTracer是一个低开销的日志记录调试概要分析工具,可以跟踪和可视化您的python代码执行
03-07
无需更改代码具有强大的前端或兼容chrome的json的独立HTML报告适用于Linux / MacOS / Windows安装首选的安装VizTracer的方法是通过pip pip install viztracer基本用法命令行假设您有一个要运行python脚本: python...
elrond:加快数字法证制品的收集,处理,分析和输出
03-28
当elrond以CSV或JSON输出伪影信息时,许多常用的日志文件分析工具都可以对其进行处理。 由于elrond确实有能力站起来一个专用的Splunk或Elastic实例,因此将以仪表板的形式自动分配工件并将其与MITER ATT&CK框架...
python load json文件的报错处理
up1292的博客
08-15 2835
windows系统下,创建了一个txt文本文件,写入字符串,保存为utf-8的编码格式。然后修改后缀为.json。 用以下代码load这个json文件 import json with open(r"./file/test3.json", "r", encoding="utf-8") as f: data = json.load(f) print(data) 结果报了如...
Python3进阶--正则表达式、json、logging日志配置、数据库操作、枚举、闭包、匿名函数和高阶函数、time、datetime
鸢尾_的博客
04-07 2009
Python3进阶--正则表达式、json、logging日志配置、数据库操作、枚举、闭包、匿名函数和高阶函数、time、datetime
深入理解Python中None和““的区别
最新发布
m0_54701273的博客
05-27 308
Python的世界里,None和空字符串""经常被用作默认值或用于表示缺省值的情况。尽管它们在某些语境下似乎可互换,但实际上None和""在Python中有着根本的区别。
python处理json
10-15
Python处理JSON可以使用内置的json模块。具体步骤如下: 1. 将JSON字符串转换为Python对象(字典、列表等):使用json.loads()方法。 2. 将Python对象转换为JSON字符串:使用json.dumps()方法。 示例代码如下: `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值