python读取windows日志_Python取证技术(3): Windows 事件日志分析

最新推荐文章于 2024-04-22 09:20:50 发布
最新推荐文章于 2024-04-22 09:20:50 发布
阅读量3.3k 收藏 10
点赞数 1
文章标签: python读取windows日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34449520/article/details/113678337
版权

Windows的事件日志都存放在 C:WindowsSystem32winevtLogs

目录下。以evtx后缀结尾。

事件日志是在windows上记录重要事件发生的特殊文件,当用户登录系统或者程序报错时,就会被记录。对 我的电脑右键菜单管理→事件查看器可以查看

安装python_Evtx

直接使用如下命令安装即可。

pip install python-evtx

如果没有安装pip,下载 get-pip.py

运行后,在python安装目录有个script目录,里面有安装好后的脚本,将该目录设为环境变量,就可以直接使用pip命令。

python_Evtx 解析日志文件

python_Evtx能够Evtx格式的日志文件解析成可读的XML文件

import mmap

import contextlib

from Evtx.Evtx import FileHeader

from Evtx.Views import evtx_file_xml_view

def MyFun():

EvtxPath = "D:Application.evtx" #日志文件的路径

with open(EvtxPath,'r') as f:

with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:

fh = FileHeader(buf,0)

# 构建一个xml文件,根元素是Events

print ""

print ""

# 遍历事件

for xml, record in evtx_file_xml_view(fh):

print xml

print ""

if __name__ == '__main__':

MyFun()

输出的事件如下(只取了其中一个),有很多节点:

4625

0

4

0

0

0x0080000000000000

1

Application

KEN-PC

86400

SuppressDuplicateDuration

SoftwareMicrosoftEventSystemEventLog

我们需要着重关注的是EventID、EventData、TimeCreated。

这段脚本运行完毕后会将该文件所有的事件日志信息输出,但我们并不需要如此对所有的事件分析,只分析我们感兴趣的部分。下面就是我改进后的代码:

import mmap

import contextlib

from Evtx.Evtx import FileHeader

from Evtx.Views import evtx_file_xml_view

from xml.dom import minidom

def MyFun():

EvtxPath = "D:Application.evtx"

with open(EvtxPath,'r') as f:

with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:

fh = FileHeader(buf,0)

print ""

print ""

for xml, record in evtx_file_xml_view(fh):

#只输出事件ID为16384的内容

InterestEvent(xml,16384)

print ""

# 过滤掉不需要的事件,输出感兴趣的事件

def InterestEvent(xml,EventID):

xmldoc = minidom.parseString(xml)

# 获取EventID节点的事件ID

eventID = xmldoc.getElementsByTagName('EventID')[0]

if EventID == eventID:

print xml

if __name__ == '__main__':

MyFun()

常见的一些事件ID

事件ID

名称

描述

20, 24, 25, 31, 34, 35

Windows-Update-Failure

windows更新失败

104, 1102

Microsoft-Windows-Eventlog

正常情况下是不可能被清除的,除非是攻击者为了清除痕迹。

106

Microsoft-Windows-TaskScheduler

显示最新注册的计划任务

1014

Microsoft-Windows-DNS-Client

DNS解析超时。这个也是非常有用的,恶意程序经常用来测试是否连接到目标网站。

2004, 2005, 2006, 2033

Firewall-Rule-Add/Change/Delete

正常用户一般不会修改防火墙规则

3004

Microsoft-Windows-Windows Defender

WD杀毒检测日志

4720, 4724, 4725, 4728, 4732, 4635,4740, 4748, 4756

Microsoft-Windows-Security-Auditing

能够找到远程登录信息,以及用户提权等相关信息

7030, 7045

Service-Control-Manager

监视服务是配置成与桌面交互还是安装在系统中。

8003, 8004, 8006, 8007

App-Locker-Block/Warning

记录被阻止运行或警告的程序信息

注意:本文来源网络/媒体,本站无法对本文内容的真实性、完整性、及时性、原创性提供任何保证,

请您自行验证核实并承担相关的风险与后果!

CoLaBug.com遵循[CC BY-SA 4.0]分享并保持客观立场,本站不承担此类作品侵权行为的直接责任及连带责任。

如您有版权、意见、投诉等问题,请通过[eMail]联系我们处理,如需商业授权请联系原作者/原网站。

刘玉珍
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python项目图像取证技术研究与实现(django).zip
04-17
1. **系统设计**:项目旨在通过图像处理和分析技术,实现对数字图像的取证和鉴定,以提供可靠的证据支持。 2. **技术实现**: - 利用了Django框架,这是一个高级的Python Web框架,可以快速开发安全和可维护的网站...
Windows 系统日志ID分析
c99060313525002的博客
09-03 2032
网络链接:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4776
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 3599
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
Windows日志分析
最新发布
weixin_56233402的博客
04-22 2975
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Windows Server 2016-Windows安全日志ID汇总
weixin_34216036的博客
03-04 2323
Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。ID安全事件信息1100事件记录服务已关闭1101审计事件已被运输中断。1102审核日志已清除1104安全日志现已满1105事件日志自动备份1108事件日志记录服务遇到错误4608Windows正在启动4609Windows正在关闭4610本地安全机构已加载身份验证包4611已向本地安全机构注册了受信任的登...
安排软件保护服务在 2022-07-26T23:00:43Z 时重新启动成功。原因: RulesEngine
u014094704的博客
07-15 2万+
安排软件保护服务在 2022-07-26T23:00:43Z 时重新启动成功。原因: RulesEngine
【script】python 解析 Windows日志python-evtx)
qq_34965596的博客
02-13 3767
Windows日志 模块安装 pip install python-evtx Windows日志 解析源码 源码 import mmap import contextlib from Evtx.Evtx import FileHeader from Evtx.Views import evtx_file_xml_view from xml.dom import minidom def log_get(evtxpath): with open(evtxpath, 'r') as f:
windows安全事件ID编号解释大全
热门推荐
hanzhen668的博客
09-14 2万+
windows安全事件ID编号解释大全
regrippy:RegRipper的基于Python-3的现代替代品
05-28
RegRip py是一个框架,用于从Windows注册表配置单元读取和提取有用的取证数据。 它是现代Python 3中开发的的替代产品。它利用William Ballenthin的访问原始注册表配置单元。 该项目的目标是提供一个框架,用于在...
mftpy:使用Python解析主文件表(MFT)记录
04-29
mftpy 使用Python解析主文件表...关于主文件表: : 代码中引用的这本书,Brian Carrier的文件系统取证分析: : 版权 版权所有2011 Aaron Hampton 执照 根据GPLv3获得许可: ://www.gnu.org/licenses/gpl-3.0.html
pyaff4:AFF4标准的Python实现
05-03
AFF4-高级取证文件格式 高级取证文件格式4(AFF4)是一种开放源代码格式,用于存储数字证据和数据。 它最初是在[1]中设计和发布的,此后已被标准化为AFF4 Standard v1.0,可从。 该项目是一个进行中的实现,提供了...
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析器
05-04
python-evtx 介绍 python-evtx是用于最近的Windows事件日志文件(文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站查看Windows 7系统的事件日志。 结构定义和解析策略在很大程度上受到了Andreas Schuster和他的Perl实现“ Parse-Evtx”的启发。 背景 随着Windows Vista的发布,Microsoft引入了更新的事件日志文件格式。 Windows XP中使用的格式是记录结构的循环缓冲区,每个记录结构都包含一个字符串列表。 查看器解析了系统库文件中托管的模板,并将字符串插入了适当的位置。 较新的事件日志格式是专有的二进制XML。 从Windows 7的事件日志文件中解压缩块会得到具有可
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python
Python-获得Windows系统的远程桌面连接历史记录
08-10
使用powershell列出登录用户或所有用户的RDP连接历史记录
利用系统登陆日志wtmp和btmp取证
03-04
利用python编写的一个获取linux操作系统登陆日志小程序。主要是用linux的shell语言,来获取系统的登陆日志。异常登陆选项是获取btmp日志
Redis全攻略
gongpulin的博客
03-07 717
文中列出来的考点较多并且累计达3w+字 ,因此建议读者收藏,以备不时之需,通过本文你将了解到以下内容:Redis的作者和发展简史Redis常用数据结构及其实现Redis的SDS和C中字符串的原理和对比Redis有序集合ZSet的底层设计和实现Redis有序集合ZSet和跳跃链表问题Redis字典的实现及渐进式Rehash过程Redis单线程运行模式的基本原理和流程Redis反应堆模式的原理和设计实...
python实时读取日志_python 通过pywin32获取windows日志
weixin_39898550的博客
12-17 662
老外大牛原地址:实测能用,是收集win服务器日志的利器。importcodecsimportosimportsysimporttimeimporttracebackimportwin32conimportwin32evtlogimportwin32evtlogutilimportwinerrordefgetAllEvents(server,logtypes,basePath...
python-evtx: Python库,用于解析Windows事件日志文件
gitblog_00083的博客
03-18 707
python-evtx: Python库,用于解析Windows事件日志文件 python-evtx是一个Python库,用于解析Windows事件日志(Event Log)文件(后缀名为 .evtx)。该库具有灵活性、高效性和易用性等特点,可用于安全分析、取证调查、系统监控等领域。 项目简介 windows-evtx 提供了对 evtx 文件的低级访问,并提供了高级 API 来帮助您解析 ev...
python分析gerrit日志
05-24
要分析Gerrit日志,可以使用Python的正则表达式模块和日志解析库。 首先,我们需要读取Gerrit服务器的日志文件。可以使用Python内置的`open()`函数来打开日志文件,例如: ```python with open('/var/log/gerrit/error_log') as f: log_data = f.read() ``` 接下来,我们可以使用正则表达式模块来提取有用的信息。例如,假设我们要提取所有提交的ID,可以使用以下代码: ```python import re commit_regex = re.compile(r'commit ([0-9a-f]{40})') commits = commit_regex.findall(log_data) ``` 这将在日志数据中查找所有40个字符长的十六进制字符串,并将其存储在`commits`列表中。 如果我们想要更复杂的分析,例如查找特定日期范围内的提交,我们可能需要使用一个更高级的日志解析库。Python中有很多这样的库,例如`apache-log-parser`和`logstash`等。 使用日志解析库,我们可以轻松地将日志数据转换为Python对象,并在其中执行查询。例如,使用`apache-log-parser`,以下代码将提取所有提交日期在2019年1月1日至1月31日期间的提交: ```python from apache_log_parser import make_parser from datetime import datetime parser = make_parser('%t') commits = [] for line in log_data.splitlines(): parsed_line = parser(line) commit_date = datetime.strptime(parsed_line['time_received_isoformat'], '%Y-%m-%dT%H:%M:%S.%f') if commit_date.year == 2019 and commit_date.month == 1: commits.append(parsed_line['request_url'].split('/')[-1]) ``` 这将使用日志解析器将日志数据转换为Python对象,并将所有在2019年1月份提交的提交ID存储在`commits`列表中。 无论你选择使用哪种方法,分析Gerrit日志都需要小心处理敏感信息,例如用户凭据和其他敏感数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值