WIN7/10下如何查看EVT格式操作系统日志

最新推荐文章于 2024-04-25 15:12:20 发布
最新推荐文章于 2024-04-25 15:12:20 发布
阅读量526 收藏
点赞数
文章标签: 运维 python windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42925682/article/details/132488129
版权

1 问题描述

Windows操作系统日志在工控机的故障排查中起着重要的作用,联锁既有项目的很多车站工控机仍然采用的XP甚至2000系统。由于在NT/Win2000/XP/Server 2003版本的操作系统中,操作系统日志是.evt格式;在Vista/Win7/Win8//Win10/Server 2008/Server 2012等版本的操作系统中,操作系统日志升级为.evtx格式,两种格式并不通用。所以,当现场拷贝回来.evt格式的操作系统日志时,除非有对应的虚拟机,否则在WIN7/10中打开.evt格式的日志时,日志的时间无法被正确解析。

 

在众多的记录中如果没有时间,我们将无法进一步定位故障。当然你可以让考日志的人拷贝的时候就转存为TXT格式日志,但是如果日志仅有.evt格式时,我们尝试采用如下几种方法来解决这个问题。

2 Log Parser

Log Parser是微软出品的、功能强大、用途广泛的日志分析工具,它可以分析基于文本的数据(如日志文件、XML文件、CSV文件),以及Windows操作系统的关键数据源(如事件日志、注册表、文件系统和 Active Directory®)。下载地址:

Download Log Parser 2.2 from Official Microsoft Download Center

具体用法可以搜索相关文档。

2.1 WIN7系统中的使用

Log Parser安装后,可以在命令行进入默认的安装地址,使用如下命令将操作系统日志转存为CSV格式文件:

如下命令可以将本机路径下的Application.evtx,System.evtx等文件进行转存

LogParser -o:CSV  "SELECT * INTO D:\System.csv FROM System"

 

也可以使用如下命令对离线文件进行转存:

LogParser -i:EVT -o:CSV  "SELECT * INTO D:\SYS.csv FROM D:\SYS.evtx"

 

但是当你对.evt格式的文件进行转存的时候,会给出“事件日志文件损坏”的报错信息:

LogParser -i:EVT -o:CSV  "SELECT * INTO D:\xt.csv FROM D:\xt.evt"

2.2 WINXP系统中的使用

Log Parser安装后,采用相同的命令对.evt格式的文件进行转存,可以正常完成。

 

不过,XP的系统都有了,可以直接使用系统的事件查看器查看.evt格式的日志,再使用Log Parser的必要性也不高了,所以前面遇到的问题还是无法解决。

3 Python的pywin32库和Evtx库

3.1 pywin32

pywin32库的win32evtlog模块提供的OpenBackupEventLog函数可以读取离线的日志文件。通过测试发现该方法仍然只能打开.evtx文件,.evt文件打开会报错:

import win32evtlog

path = r'D:\xt.evt'

win32evtlog.OpenBackupEventLog(None, f'{path}')

报错信息如下:

3.2 Evtx

Evtx库只能解析.evtx格式的文件,如果需要对WIN7/WIN10等本地操作系统日志进行监控时,使用该库是一个不错的选择,详细介绍见主页(https://github.com/williballenthin/python-evtx)。但是这个库无法解析.evt文件。

4 EVT文件解析

当前面的方法都没办法解决我们的问题时,我们可以尝试对.evt文件的二进制格式直接进行解析。.evt文件格式描述可以参考如下文档:

https://github.com/libyal/libevt/blob/main/documentation/Windows%20Event%20Log%20(EVT)%20format.asciidoc

一个evt文件主要包括三部分,分别是:

  1. 文件头
  2. 事件记录
  3. 文件尾

4.1 文件头

文件头的详细格式参考前面网页文档的2. File header部分(也可以参考windows主页的介绍:https://learn.microsoft.com/en-us/previous-versions/windows/desktop/legacy/bb309024(v=vs.85)),其中需要关注的两个点是:

  1. 文件头部长度固定:48 bytes
  2. 文件头部标志位固定:0x654c664c

4.2 文件尾

文件尾的详细格式参考前面网页文档的4. End of file record部分(也可以参考windows主页的介绍:https://learn.microsoft.com/en-us/previous-versions/windows/desktop/legacy/bb309022(v=vs.85)),其中需要关注的几个点是:

  1. 文件尾部长度固定:40 bytes
  2. 文件尾部标志位固定:有四个,分别是:0x11111111,0x22222222,0x33333333,0x44444444

4.3 事件记录

每条事件记录的详细格式参考前面网页文档的3. Event record部分(也可以参考windows主页的介绍:https://learn.microsoft.com/en-us/windows/win32/api/winnt/ns-winnt-eventlogrecord)。

对于每条事件记录,可以参考XP系统事件查看器中的单条事件的各个属性进行提取。

 

其中各个字段的含义如下:

  1. Creation date and time:长度 4 bytes,UTC格式。这个时间是事件的发生时间,还有一个Last written date and time是这条事件记录到日志文件的时间。一般情况下两个时间是相同的。
  2. Source name: 长度不固定,以0x0000结尾,按照大端在后格式编码的一组字符。
  3. Event category:长度 2 bytes,主要用在Security event log
  4. Event type:长度 2 bytes,事件的级别,分别是:错误,警告,信息,审核成功,审核失败。
  5. Event identifier:长度 4 bytes,其中2 bytes是具体的ID值。可以通过该ID号进一步确认该事件产生的原因,比如经常看到的6005,6006,6009。
  6. User SID:长度不固定,当User identifier (SID) size字段大于0的时候,该字段才存在。该字段是用户的安全标识符,是标识用户、组和计算机帐户的唯一的号码。详细格式解析参考网页:https://github.com/libyal/libfwnt/wiki/Security-Descriptor
  7. Computer name: 长度不固定,以0x0000结尾,按照大端在后格式编码的一组字符。
  8. Event strings:长度不固定,当Number of strings字段大于0的时候存在,可以通过Event strings offset字段定位起始位置。该字段中可能存在多个Event string,每个Event string都以0x0000结尾,按照大端在后格式编码的一组字符。这些字段是组成事件消息描述内容的一部分,如果要获取详细的消息内容需要查看注册表的相关属性中指定的消息文件中。
  9. Event data:长度不固定,当Event data size字段大于0的时候存在,可以通过Event data offset字段定位起始位置。该字段信息是特定事件的详细信息记录。操作系统的事件查看器并不解析此数据,但是可以根据不同Event ID存在不同的解析格式。(https://learn.microsoft.com/zh-cn/windows/win32/api/winnt/ns-winnt-eventlogrecord)

除以上字段外还有其他有用的字段如下:

  1. 每条事件记录的标志位固定:0x654c664c
  2. 每条事件记录的序号字段:Record number字段(长度 4 bytes)
  3. 每条时间记录的长度字段:Size字段(长度 4 bytes),同时出现在每条事件记录信息的开始4 bytes和结束的4 bytes。
房路刚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
evt2sigma:日志输入到Sigma Rule Converter
05-17
evt2sigma 日志输入到Sigma Rule Converter 它能做什么 它从文件中获取日志条目,然后尝试创建规则。 它针对Windows EVTX事件日志的XML格式进行了优化,但可以通过为相应的日志类型添加新的正则表达式来轻松修改以支持更多日志格式。 地位 当前状态为“ alpha”。 它更像是一个公共POC,以便其他人可以学习和扩展。 用法 usage: evt2sigma.py [-h] [-f file] [-o out-file] [-fc field-count] [--debug] [--trace] [-a] [-r] [-l] [-t] [-d] [-p] [-s] [-c] Event 2 Sigma Converter optional arguments: -h, --help show thi
EVT垃圾焚烧系统燃烧设备 (1999年)
05-22
本文从垃圾给料系统、焚烧炉排型式和燃烧调整等方面,介绍德国EVT公司的垃圾焚烧系统燃烧设备,分析了燃烧设备的特点。
Eventlogedit-evt--General:从Windows事件查看日志EVT)文件中删除单独的行
03-21
Eventlogedit-evt--常规 从Windows事件查看日志EVT)文件中删除单独的行 支持:Windows XP和Windows 2003 我的帖子有关详细信息: 稍后,我将它们翻译成英文。 笔记: WinXP和Win7,ObjectTypeNumber = 0x1c evtDeleteRecordofFile.cpp 读取一个evt文件(c:\ test \ sys1.evt),然后删除一些事件日志记录(从StartTime =“ 2018-7-16 17:46:17”到EndTime =“ 2018-7-16 17:46:40 ”)。 新的evt文件另存为c:\test\sys2.evt和c:\test\sys3.evt (文件大小不同)。 sys1.evt 活动数:9 sys2.evt 事件数:8 您可以使用evtDeleteRecordofFile.cpp删
CH375EVT_event_USBCH372/CH375_
10-01
CH375 Event source code
python-evt:适用于经典Windows事件日志文件(.evt)的纯Python解析器
05-04
python-evt 适用于经典Windows事件日志文件(.evt)的纯Python解析器
Window日志分析
weixin_45116657的博客
10-28 1681
一、Windows事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时...
Windows安全日志分析
热门推荐
安全狐
11-16 1万+
Windows日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
Window入侵排查思路
qq_46202048的博客
04-03 6961
一、开机启动项 1、在Windows系统中查看启动项,首先要排查的就是开机自启项。 • 开始菜单里的程序中的自启 • C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup • 查看应用程序中是否存在陌生的程序或者可疑程序(非机主自己安装)。 2、可以通过msconfig查看启动项,win10系统的启动项转移到任务管理器中查看了 • 查看是否存在可疑项 3、查看缓存文件 C盘一般在C
python读取windows日志_使用pywin32(win32evtlog模块)在Python中读取Windows事件日志
weixin_39613089的博客
12-17 1392
您可以在C:\PythonXX\Lib\site-packages\win32\Demos文件夹中找到大量与winapi相关的演示。在此文件夹中,您将找到名为eventLogDemo.py的脚本。在那里,您可以看到如何使用win32evtlog模块。只需使用eventLogDemo.py -v启动此脚本,您就可以使用logtype Application从Windows事件日志中获取打印件。如果你...
查看evt文件( windows 日志文件 )
ph11204的专栏
03-14 6048
查看evt文件 如:C:\WINDOWS\system32\config中各种日志文件: 打开开始菜单->运行,输入Eventvwr.msc或开始->控制面版->管理工具->事件查看器,然后点操作,找到*.evt文件打开即可。 打开的时候需要选择日志类型,比如系统日志或安全日志。 为了方便,也可以保存为TXT格式,这样以后就可以用记事本直接查看了。方法是:点击操作,选择
evt2sac Converts data from EVT to SAC format
10-05
The National Earthquake Information Center distributes event waveforms on CD-ROMS. The evt2sac program extracts the waveforms and converts them to SAC format. A profile specifies the parameters used by the program. The user can specify the time of the event of interest and also specify range and lag time to extract only records of interest. In addition, it is possible to specify that the program extract data around the arrival time of a phase. For example, one could specify that the data should extend from one minute before the arrival of the P wave and run until five minutes after the arrival of the S wave. The phases supported are P, S, pP, sS, PP, SS and surface waves. When specifying surface waves, the user can provide a surface wave group velocity window.
EVT-CH376T.rar_单片机开发_C/C++_
08-11
与单片机、ARM7等接口,SPI通信控制SD卡、U盘设备,文件属性管理等功能
mseed2sac-1.4.tar.gz_EVT2SAC_MINISEED格式_c# miniseed_mseed2sacx_地
09-24
检查MINISEED格式完整性的程序源代码,在地震系统中比较实用.
evtViewer:Ms 事件 (*.evt) 日志文件查看器-开源
07-03
evtViewer 是用 PERL 编写的 Ms 事件 (*.evt) 日志文件的查看器。
evT.zip_EVT_evt 删除_evt 单条删除_删除Windows日志_日志 删除
09-15
查看删除windows日志,还好用吧,下载来看看。小巧玲珑,
Git & TortoiseGit 详细安装使用教程
m0_37383484的博客
04-20 1091
Git 工具详细安装教程,TortoiseGit 工具详细安装使用教程。
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 423
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
【ROMA解决方案和功能架构】
数据也是生产力,保持热爱,奔赴山海!
04-23 716
1、基于ROMA融合集成平台,实现企业应用、数据、API 、OT设备、云服务、合作伙伴应用之间的集成连接。2、ROMA主要包含四个组件:数据集成(Fast Data Integration,简称FDI)、服务集成(API Connect,简称APIC)、消息集成(Message Queue Service,简称MQS)、设备集成(LINK)。
用VMware虚拟机安装Centos7
最新发布
StreamlineWq的博客
04-25 376
里面可以选择你喜欢的一个版本,然后选择Windows64位的来下载。
光模块EVT/DVT
08-14
光模块的EVT/DVT测试主要涉及以下几个方面: 1. 功能测试:在EVT阶段,需要对光模块的基本功能进行测试,包括光传输的稳定性、光信号的接收和发送是否正常等。在DVT阶段,会进行更全面的功能测试,包括对光模块的各项功能进行验证,如调试完成的器件执行基本功能测试。 2. 性能测试:光模块的性能测试主要包括光信号的传输速率、光损耗、光纤的连接稳定性等方面。通过对光模块进行各种条件下的性能测试,可以评估其在实际应用中的表现。 3. 兼容性测试:在EVT/DVT阶段,需要对光模块与其他设备的兼容性进行测试,包括与主机、光纤等设备的兼容性。例如测试光模块与android手机操作系统的兼容性,确保相机、lcd屏幕等功能是否正常工作。 4. 可靠性测试:在EVT/DVT阶段,还需要对光模块的可靠性进行测试,包括长时间运行测试、温度变化测试等。通过这些测试,可以评估光模块在各种环境条件下的工作稳定性和可靠性。 综上所述,光模块的EVT/DVT测试主要包括功能测试、性能测试、兼容性测试和可靠性测试等方面。测试过程需要严格按照公司规范,使用适当的测试工具和框架,如pytest、Selenium等,以保证测试的准确性和可重复性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [乘风破浪会有时](https://blog.csdn.net/weixin_44019271/article/details/130592602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值