Windows事件日志快速分析

最新推荐文章于 2024-07-30 15:39:07 发布
最新推荐文章于 2024-07-30 15:39:07 发布
阅读量3.7k 收藏 24
点赞数 3
分类专栏: Windows Server 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38623994/article/details/106580181
版权

文章目录

前言

我每月都要给各种不同的客户做系统巡检,其中Windows事件日志检查是比较耗时的事情。它会记录许多的信息,特别是针对系统安全方面、系统故障排除方面有重要线索。我们可以通过一些事件关键字与信息,制作各种不同的脚本以便快速筛选过滤日志。

一般来说,我们可以通过如下两种方法实现日志过滤:

  • Powershell => Win自带的命令行工具
  • Log Parser 2.2 => 功能非常强大的第三方工具

PowerShell命令方法

Windows PowerShell提供两种不同的命令方式:

  • Get-WinEvent => 功能强大,但运用复杂;

  • Get-EventLog => 简单易用,可实时查询;

# 过滤安全日志的登录成功与失败日志
Get-EventLog Security  -InstanceId  4624,4625

在这里插入图片描述

PowerShell常用命令

1. 检查服务器最近开关机时间

Function Get-ComputerUptimeHistory {
 $q='
<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*[System[(EventID=6005 or EventID=6006)]]</Select>
  </Query>
</QueryList>'
$events = Get-WinEvent -FilterXml $q
$i=-1
while ( $i+1 -lt $events.length ) {
 if($i -eq -1)
 {
  [PSCustomObject]@{
  StartTime = $events[0].TimeCreated;
  StopTime = $null ;
  UpTime = [datetime]::Now - $events[0].TimeCreated
  }
 }
 else{
 [PSCustomObject]@{
  StartTime = $events[$i+1].TimeCreated;
  StopTime = $events[$i].TimeCreated ;
  UpTime = $events[$i].TimeCreated - $events[$i+1].TimeCreated
  }
 }
 $i += 2
}
}

Get-ComputerUptimeHistory | ft -AutoSize

在这里插入图片描述

2. 最近登录失败的详细信息

$xml='<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4625)]]</Select>
  </Query>
</QueryList>'
$events = Get-WinEvent -FilterXml $xml
$i=0
Write-Host '登录时间','登录账号','登录类型','登录IP地址'
while ($i -lt $events.length) {
    $time=$events[$i].TimeCreated
    $type=[regex]::matches($events[$i].Message, '登录类型:(.+)') | %{$_.Groups[1].Value.Trim()}
    $user=([regex]::matches($events[$i].Message, '帐户名:(.+)') | %{$_.Groups[1].Value.Trim()})[1]
    $IP=[regex]::matches($events[$i].Message, '源网络地址:(.+)') | %{$_.Groups[1].Value.Trim()}
    Write-Host $time,$user,$type,$IP
    $i++
}

登录类型参考如下:
在这里插入图片描述

3. 统计指定时间至今的事件数量

# 汇总显示
Get-EventLog security -InstanceId 4624,4625  -After '2020/06/01 00:00' | Group-Object InstanceId | Sort-Object Count -Descending

在这里插入图片描述

# 明细显示
Get-EventLog security -InstanceId 4625  -After '2020/06/01 00:00' | Format-List

在这里插入图片描述

4. 只关注指定时间某一类型日志

Get-EventLog application -After '2020/06/01 00:00' | Where-Object { $_.EntryType -eq "Error" }

在这里插入图片描述

常见EventID解释

在这里插入图片描述

Eric.zhong
关注
专栏目录
使用PowerShell分析CSV和可怜人的Web日志分析
cunfuteng7334的博客
10-02 328
I was messing around with some log files for the podcast and exported a CSV. There's lots of ways for us to get stats, but I was just poking around. 我在处理播客的一些日志文件并导出了CSV。 我们有很多方法可以获取统计数据,但我只是在闲逛。 Gi...
事件 日志 查看 工具
05-24
MyEventViewer is a simple alternative to the standard event viewer of Windows. As oppose to Windows event viewer, MyEventViewer allows you to watch multiple event logs in one list, as well as the event description and data are displayed in the main window, instead of opening a new one.
日志分析工具 Top 10 介绍
最新发布
迷失蒲公英
07-30 643
Loggly 同时有免费和收费计划。Loggly 的分析功能包括根据他们的对你的日志进行鸟瞰视图查看。你只需要点击几下就可以消除噪音。他们还能提供强大的全文搜索、范围以及布尔等多种查询。你还可以使用他们的轻松地发现你日志中的各种趋向。如果你看到了一个尖刺,你可以迅速追溯到相关日志中的时间点。Logentries 同时有免费和收费计划。其部分功能整合了实时跟踪搜索、自定义标签以及上下文视图。通过聚合的实时跟踪检索,你可以进行日志的实时过滤,从而在 web 应用程序和系统事件发生的时候可以有一个更深入的了解。
利用powershell进行windows日志分析
07-09 968
0x00 前言   Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet:一个是Get-WinEvent,超级强大,但使用起来比较麻烦;另一个是Get-EventLog,使得起来相当简单,可以实时筛选,接下来,我们利用PowerShell 来自动筛选 Windows 事件日志。 0x01Get-WinEvent A、XML编写 假设有这样一个需求:...
查看Windows事件日志
KB孩子
07-09 3583
启动Windows事件查看器,点击“开始|设置|控制面板|管理工具”菜单,选择事件查看器,将弹出如图7.9所示的事件查看器窗口。   (点击查看大图)图7.9   Windows事件查看器窗口 事件查看器在不同的系统中可能有些不同,系统内置的事件分类有应用程序、安全性和系统,如果是Windows Vista或者是Windows Server 2008,
Window事件日志分析
Chur的博客
09-18 3057
windows 事件日志分析
Windows 事件日志分析管理
ITmoster的博客
03-10 1447
EventLog Analyzer 是一款称职的日志管理工具,可以收集、分析和存档事件日志以及多种其他日志格式,以确保网络安全。
rizhi.zip_ReadEVTDlg_windows日志_日志分析_系统日志
09-24
总之,通过ReadEVTDlg这样的工具,我们可以更高效地管理和分析Windows日志,从而提高系统维护和故障排查的效率。在日常IT工作中,掌握日志分析技能,对于提升系统稳定性和安全性具有不可忽视的价值。
windows日志一键分析小工具
02-02
写了个基于.net 4.0的LogParser Windows日志一键分析小工具。所以在使用得时候需要在相同目录放入LogParser.exe即可,使用得时候记得管理员权限运行 可以快速的进行一些日志分析,后续也会慢慢的进一步进行更新。...
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
在IT领域,尤其是在系统管理和网络安全分析中,对Windows系统日志分析是一项至关重要的任务。Windows操作系统使用EVTX(Event Viewer Log)格式记录系统、应用程序和安全事件。这些日志包含丰富的信息,可以帮助...
windows日志分析工具
12-19
在实际操作中,用户可以通过打开事件查看器(Event Viewer)来手动查看Windows日志,但使用专门的分析工具可以更高效地管理和分析大量日志数据,尤其在大型企业环境中,这种工具的价值更为显著。在文件名为"windows...
Nginx日志分析工具2.1.0.zip
06-11
Nginx日志分析工具2.1.0是一款专为Windows平台设计的软件,用于高效地解析、统计和分析Nginx服务器产生的日志文件。Nginx作为一款高性能的Web服务器和反向代理服务器,广泛应用于各类网站和应用程序中。在日常运维...
实例:时间事件日志分析
切克闹的博客
12-13 976
时间事件日志 个人时间统计工具。要点: 使用 dida365.com 来作为 GTD 工具 使用特殊格式记录事件类别和花费的时间,练习数据下载 导出数据 分析数据 读取数据 分析并读取数据 %matplotlib inline import pandas as pd import matplotlib.pyplot as plt from matplotlib.font_manager im...
C#中使用EventLog类写Windows事件日志
cnbird's blog
07-24 6092
在程序中经常需要将指定的信息(包括异常信息和正常处理信息)写到日志中。从C#3.0开始可以使用EventLog类(在System.Diagnostics命名空间中)将各种信息写入Windows日志。在 管理工具->事件查看器 中可以查看写入的Windows日志。   下面是使用EventLog类向应用程序(Application)写入日志的示例,日志类型使用EventLogEntryType
在Visual C++程序中自定义Windows Vista事件日志
谢启东的专栏
06-16 1138
 在Visual C++程序中自定义Windows Vista事件日志           就Windows开发者及系统管理员来说,Windows Vista日志相比以前,无疑有了一个很大的提高。对开发者来说,Vista的日志记录对多种事件日志选项,都表现出统一一致性;而对网络管理员及IT专家,它提供了丰富的人机界面用于管理事件。新的日志记录方式,也只能通过Windows SDK
Windows日志筛选
weixin_34112900的博客
05-22 2634
Windows日志筛选 因工作需求开启文件系统审核,因Windows日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。 一、需求分析 存在问题 日志量巨大(每天约1G) 日志管理器查询日志不便 主要目标 启用文件系统审核 快捷查询用户的删除操作 解决方案 采用轮替方式归档日志(500MB) 日志存放60天(可用脚本删除超过期限日志档案) 使用Get-WinE...
Windows 日志记录类(c++)
zhuobattle的专栏
01-10 4287
开发产品中都会用到日志记录,但是又会碰到日志文件大小有所限制,针对这样的功能,本人写了一个日志文件操作类,实现功能: 1. 记录日志到可写目录,可以按照不同参数保存到不同目录 2. 日志目前限制512K,超过这个大小后,会截取原来一半,较早的一半日志丢弃,这个限制只要修改一下那个宏即可 3.每次运行日志用特殊符号分开,方便查看 4.考虑到日志上传时,需要一次完整的运行记录,所以在截取时会做
C++ 查询系统日志
LYSM
08-25 2555
坑! 有一个大坑,浪费我整整8个小时。最开始的思路是使用 Windows API 来操作日志,但是发现过程非常繁琐,而且到最后还有很多数据读不全,看了一天的 MSDN,最后放弃了。 于是采用另一个思路,20分钟解决。 使用 C++ 操作命令行,并接收命令行返回信息,通过 Dos 命令获取 Windows 系统日志。 Wevtutil 命令介绍 文档上介绍的很全,我就不一一列举了,这里只说下我用到的...
powershell 针对日志的实例
lepton126的专栏
01-23 1330
C:\PowerShell\AppendixB> get-eventlog -list Max(K) Retain OverflowAction Entries Name ------ ------ -------------- ------- ---- 512 7 OverwriteOlder 486 Application 512 7 OverwriteOlder 0 Internet
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值