Windows日志分析

已于 2023-07-07 17:21:48 修改
阅读量364 收藏 1
点赞数 1
分类专栏: 日志分析 windows日志分析 文章标签: windows 经验分享 笔记
于 2023-07-07 17:20:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43457035/article/details/131600861
版权
本文介绍了如何使用Windows内置的日志查看器(eventvwr)以及LogParser工具来分析和查询系统、安全和应用日志,特别是针对登录事件(成功和失败)的查询方法。同时,文章提供了统计特定用户和源IP登录信息的示例,并展示了如何将日志转换为CSV格式以进行进一步的数据处理。
摘要由CSDN通过智能技术生成

Windows日志分析

快捷进入

eventvwr

在这里插入图片描述

日志存放

C:\Windows\System32\winevt\Logs

在这里插入图片描述

重点日志文件

安全日志、系统日志、应用日志、远程连接日志文件。

Security.evtx 安全日志

System.evtx  系统日志

Application.evtx	应用日志

远程连接日志

Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx 被远程连接(主要)

Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx 被远程连接(辅助)
Log Parser日志分析工具

LogParser.exe

登录失败
LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings, 10, '|') as LogonType,EXTRACT_TOKEN(Strings, 18, '|') AS ProcessName,EXTRACT_TOKEN(Strings, 19, '|') AS SourceIP FROM C:\Security.evtx where EventID=4625"
登录成功
LogParser.exe -i:EVT -o:DATAGRID "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings, 8, '|') as LogonType,EXTRACT_TOKEN(Strings, 17, '|') AS ProcessName,EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM C:\Security.evtx where EventID=4624"
统计用户

需要统计用户admin登录信息,通过在搜索末尾增加“*and extract_token(strings,5,‘|’)=‘admin’*”进行提取关键数据统计,使用:

SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings, 8, '|') as LogonType,EXTRACT_TOKEN(Strings, 17,'|') AS ProcessName,EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM C:\Security.evtx where EventID=4624 and extract_token(strings,5,'|')='admin'

在这里插入图片描述

统计源IP

需要统计源IP“172.168.1.30”登录信息,通过在搜索末尾增加“*and extract_token(strings,**18**,‘|’)='**172.168.1.30**'*”进行提取关键数据统计,使用:

SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings, 8, '|') as LogonType,EXTRACT_TOKEN(Strings, 17,'|') AS ProcessName,EXTRACT_TOKEN(Strings, 18, '|') AS SourceIP FROM C:\Security.evtx where EventID=4624 and extract_token(strings,18,'|')='172.168.1.30'

在这里插入图片描述

格式转换

将日志文件输出到csv格式的文件中,方便进行数据筛选

logparser.exe "select *  INTO SecurityExport.csv from  'C:\Security.evtx'" -i:EVT -headers:ON
晓霞1111
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows日志分析(上)
weixin_43200882的博客
10-20 3454
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。多年来,微软不断提高其审计设施的效率和有效性。现代 Windows 系统可以以最小的系统影响记录大量信息。一般来说企业会选择一种工具来获取日志,这个工具叫做即安全,信息和事件管理。
【全面解析 Windows 日志:提高系统安全性的关键】
最新发布
qq_57930963的博客
05-22 1306
在当今数字化时代,信息安全对于个人和企业来说至关重要。Windows 操作系统作为全球使用最广泛的操作系统之一,其安全性也备受关注。本文将全面解析 Windows 日志,探讨其在提高系统安全性方面的关键作用。 本文首先介绍了 Windows 日志的基本概念、日志类型以及日志记录的内容。接着,详细阐述了 Windows 日志的安全性,包括日志的加密、访问控制和审计等方面。随后,探讨了如何利用 Windows 日志来检测和防范安全威胁,如恶意软件、黑客攻击和内部人员违规行为等。通过实时监测和分析日志信息,可以及
应急响应实战笔记——日志分析篇:① Windows 日志分析
君逍遥o
03-27 3003
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Windows系统日志
weixin_53696027的博客
01-11 7051
关于Windows日志简单解释和分析,以及日志分析工具的简单使用
Windows安全日志分析
安全狐
11-16 1万+
Windows的日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
查看Windows日志
diewei6100的博客
10-21 276
之前,在Windows服务管理器中启动WCF服务时,出现“本地计算机上的XXX服务启动后停止。某些服务在未由其它服务或程序使用时将自动停止。”问题,最后通过查看Windows日志中的详细信息才得以解决。所以今天就说说如何查看Windows日志: 1、“计算机”右键菜单“管理”;弹出“计算机管理”窗口。 2、“事件查看器” -> “Windows 日志” -> “应用程序”...
windows日志分析工具
12-19
一个优秀的Windows日志分析工具应具备以下功能: 1. **实时监控**:实时显示新产生的日志事件,帮助用户快速响应问题。 2. **过滤和搜索**:允许用户根据关键字、事件ID、源或级别等条件筛选日志,快速定位问题。 3...
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
首先,我们来看Windows日志分析Windows操作系统提供了事件查看器(Event Viewer)工具,它收集并记录了系统、应用程序、安全、设置和向前查看的日志。安全日志是关键,因为它记录了所有登录尝试、权限更改以及与...
Nginx日志分析工具2.1.0.zip
06-11
Nginx日志分析工具2.1.0是一款专为Windows平台设计的软件,用于高效地解析、统计和分析Nginx服务器产生的日志文件。Nginx作为一款高性能的Web服务器和反向代理服务器,广泛应用于各类网站和应用程序中。在日常运维...
Windows日志外发配置
05-18
日志外发,即把Windows系统的事件日志发送到远程服务器或者第三方日志分析工具,有助于集中管理和分析来自多台计算机的日志数据,提高运维效率。"Windows日志外发配置"主要涉及到使用evntlog工具进行设置,下面我们...
windows日志事件编号分类
01-28
windows日志事件编号分类
jinterop获取windows事件三类日志(Security、Application、System)
03-29
NULL 博文链接:https://yuanlijia1.iteye.com/blog/1277846
windows日志一键分析小工具
02-02
写了个基于.net 4.0的LogParser Windows日志一键分析小工具。所以在使用得时候需要在相同目录放入LogParser.exe即可,使用得时候记得管理员权限运行 可以快速的进行一些日志分析,后续也会慢慢的进一步进行更新。...
Windows日志】记录系统事件的日志
第一天
10-14 2万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
windows系统日志查看
热门推荐
朝歌
05-29 3万+
1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。 2、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。 3、事件id(其他具体事件id需要时可自行百度) 事件 ID 事件类型 ...
什么是Windows日志?
运维有小邓
04-22 1191
EventLog Analyzer可以帮助管理员高效维护维护Windows日志,重要业务应用程序包括MS SQL服务器,Oracle数据库和终端服务器,例如打印服务器等。
Window日志分析
06-17 178
0x01 基本设置 A、Windows审核策略设置 前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。 打开设置窗口   Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图1所示;   Windows Server 2003:开始 → 运行 → 输入 gp...
windows日志知识
blackson的专栏
09-01 2740
一、前言Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等.当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流光启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值