python读取windows日志_Python取证技术(3): Windows 事件日志分析

最新推荐文章于 2022-04-21 14:43:09 发布
最新推荐文章于 2022-04-21 14:43:09 发布
阅读量3.3k 收藏 10
点赞数 1
文章标签: python读取windows日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34449520/article/details/113678337
版权

Windows的事件日志都存放在 C:WindowsSystem32winevtLogs

目录下。以evtx后缀结尾。

事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件查看器可以查看

安装python_Evtx

直接使用如下命令安装即可。

pip install python-evtx

如果没有安装pip,下载 get-pip.py

运行后,在python安装目录有个script目录,里面有安装好后的脚本,将该目录设为环境变量,就可以直接使用pip命令。

python_Evtx 解析日志文件

python_Evtx能够Evtx格式的日志文件解析成可读的XML文件

import mmap

import contextlib

from Evtx.Evtx import FileHeader

from Evtx.Views import evtx_file_xml_view

def MyFun():

EvtxPath = "D:Application.evtx" #日志文件的路径

with open(EvtxPath,'r') as f:

with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:

fh = FileHeader(buf,0)

# 构建一个xml文件,根元素是Events

print ""

print ""

# 遍历事件

for xml, record in evtx_file_xml_view(fh):

print xml

print ""

if __name__ == '__main__':

MyFun()

输出的事件如下(只取了其中一个),有很多节点:

4625

0

4

0

0

0x0080000000000000

1

Application

KEN-PC

86400

SuppressDuplicateDuration

SoftwareMicrosoftEventSystemEventLog

我们需要着重关注的是EventID、EventData、TimeCreated。

这段脚本运行完毕后会将该文件所有的事件日志信息输出,但我们并不需要如此对所有的事件分析,只分析我们感兴趣的部分。下面就是我改进后的代码:

import mmap

import contextlib

from Evtx.Evtx import FileHeader

from Evtx.Views import evtx_file_xml_view

from xml.dom import minidom

def MyFun():

EvtxPath = "D:Application.evtx"

with open(EvtxPath,'r') as f:

with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:

fh = FileHeader(buf,0)

print ""

print ""

for xml, record in evtx_file_xml_view(fh):

#只输出事件ID为16384的内容

InterestEvent(xml,16384)

print ""

# 过滤掉不需要的事件,输出感兴趣的事件

def InterestEvent(xml,EventID):

xmldoc = minidom.parseString(xml)

# 获取EventID节点的事件ID

eventID = xmldoc.getElementsByTagName('EventID')[0]

if EventID == eventID:

print xml

if __name__ == '__main__':

MyFun()

常见的一些事件ID

事件ID

名称

描述

20, 24, 25, 31, 34, 35

Windows-Update-Failure

windows更新失败

104, 1102

Microsoft-Windows-Eventlog

正常情况下是不可能被清除的,除非是攻击者为了清除痕迹。

106

Microsoft-Windows-TaskScheduler

显示最新注册的计划任务

1014

Microsoft-Windows-DNS-Client

DNS解析超时。这个也是非常有用的,恶意程序经常用来测试是否连接到目标网站。

2004, 2005, 2006, 2033

Firewall-Rule-Add/Change/Delete

正常用户一般不会修改防火墙规则

3004

Microsoft-Windows-Windows Defender

WD杀毒检测日志

4720, 4724, 4725, 4728, 4732, 4635,4740, 4748, 4756

Microsoft-Windows-Security-Auditing

能够找到远程登录信息,以及用户提权等相关信息

7030, 7045

Service-Control-Manager

监视服务是配置成与桌面交互还是安装在系统中。

8003, 8004, 8006, 8007

App-Locker-Block/Warning

记录被阻止运行或警告的程序信息

注意:本文来源网络/媒体,本站无法对本文内容的真实性、完整性、及时性、原创性提供任何保证,

请您自行验证核实并承担相关的风险与后果!

CoLaBug.com遵循[CC BY-SA 4.0]分享并保持客观立场,本站不承担此类作品侵权行为的直接责任及连带责任。

如您有版权、意见、投诉等问题,请通过[eMail]联系我们处理,如需商业授权请联系原作者/原网站。

刘玉珍
关注
python读取windows日志_windows使用python原生组件包获取系统日志信息
weixin_39595430的博客
12-17 860
#coding=utf8import sysimport tracebackimport win32conimport win32evtlogimport win32evtlogutilimport winerrortry:from _utils.patrol2 import run_cmd, data_format, report_formatexcept:print 'no module _u...
python读取windows日志_Python解析windows系统日志文件
weixin_39931362的博客
12-17 1443
DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,并且包括在 Python 2.0 的标准 XML 支持里。参考博客:python网络编程学习笔记:XML生成与解析Python取证技术: Windows 事件日志分析1.安装python_Evtx直接使用...
python读取windows日志_甚至读取特定的Windows事件日志
weixin_39613712的博客
12-17 706
不!没有任何函数允许您根据事件id获取事件GetNumberOfEventLogRecords Retrieves the number of records in the specified event log.GetOldestEventLogRecord Retrieves the absolute record number of the oldest recordin the ...
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 3964
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
【script】python 解析 Windows日志python-evtx)
qq_34965596的博客
02-13 4114
Windows日志 模块安装 pip install python-evtx Windows日志 解析源码 源码 import mmap import contextlib from Evtx.Evtx import FileHeader from Evtx.Views import evtx_file_xml_view from xml.dom import minidom def log_get(evtxpath): with open(evtxpath, 'r') as f:
python搜索软件或应用_Python正确查找和读取windows应用程序事件日志
weixin_36364707的博客
02-21 484
因此,我的最终目标是在文件更新触发时使用python读取特定应用程序的windows事件日志。在我的问题是,python不能访问存储在C:\Windows\System32\winevt\logs中的事件日志。每当我试图读取文件时,都会出现以下错误:WindowsError: [Error 2] The system cannot find the file specified我尝试了各种形式的转...
取证分析之日志分析.zip
02-05
通过以上三个文件,我们可以深入学习如何使用编程语言(如Python)对日志数据进行有效分析,理解网络服务器日志的结构和用途,并掌握日志分析取证和安全领域的应用。同时,了解数据分析的基本流程和方法,对提升...
java输出windows系统日志_闲聊Windows系统日志
weixin_31585653的博客
03-02 2110
title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:38:54阅读 4.2K0\ ...
隐写术_dct隐写术_隐写术_python_图片隐写_图片隐写术_
10-04
Python作为一种强大的编程语言,因其丰富的库支持和易读性,成为了实现这种技术的理想选择。 DCT隐写术是一种常见的数字图像隐写方法,它利用了DCT变换的特点。在DCT中,原始图像被转换为频率域的表示,其中低频...
Python-LogonTracer通过可视化和分析Windows事件日志来调查恶意Windows登录
08-10
通过查看和分析Windows活动目录事件日志来调查恶意登录。LogonTracer使用PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。
Python-获得Windows系统的远程桌面连接历史记录
08-10
使用powershell列出登录用户或所有用户的RDP连接历史记录
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析器
05-04
python-evtx 介绍 python-evtx是用于最近的Windows事件日志文件(文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站查看Windows 7系统的事件日志。 结构定义和解析策略在很大程度上受到了Andreas Schuster和他的Perl实现“ Parse-Evtx”的启发。 背景 随着Windows Vista的发布,Microsoft引入了更新的事件日志文件格式。 Windows XP中使用的格式是记录结构的循环缓冲区,每个记录结构都包含一个字符串列表。 查看器解析了系统库文件中托管的模板,并将字符串插入了适当的位置。 较新的事件日志格式是专有的二进制XML。 从Windows 7的事件日志文件中解压缩块会得到具有可
Python 写入训练日志文件并控制台输出解析
09-18
主要介绍了Python 写入训练日志文件并控制台输出解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于python+Django的图像取证技术源码数据库.zip
最新发布
10-06
【标题解析】 "基于python+Django的图像取证技术源码数据库"这一标题...总的来说,这个项目涵盖了Python Web开发的基础和高级知识,对于学习者来说,不仅能深入了解Django框架,还能提升图像处理和取证分析的技术能力。
python退出程序事件日志_用python查看windows事件日志的方法(待后续研究)
weixin_39847437的博客
12-03 386
#coding=utf8import copyimport ctypesfrom ctypes import byref, POINTER, cast, c_uint64, c_ulong, c_char_p, c_wchar_pfrom ctypes.wintypes import BOOL, DWORD, HANDLE, LPVOID, WORD, HKEY, LONGimport datet...
python不用win32api获得windows日志的代码
白菜越越好吃的博客
12-04 1914
分享一个不用win32api获得windows日志python程序(怪无聊的了)。现在还不是很成熟,少一些日志中的细枝末节。import copy import ctypes from ctypes import byref, POINTER, cast, c_uint64, c_ulong, c_char_p, c_wchar_p from ctypes.wintypes import BOOL
python 通过pywin32获取windows日志
weixin_33998125的博客
07-08 2067
老外大牛原地址:http://www.blog.pythonlibrary.org/2010/07/27/pywin32-getting-windows-event-logs/ 实测能用,是收集win服务器日志的利器。importcodecs importos importsys importtime importtraceback importwin32con...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值