Windows系统日志分析工具-- Log Parser
可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客 写完才看见。吐了
0x01 基本设置
事件ID及常见场景
对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。
4624 --登录成功
4625 --登录失败
4634 -- 注销成功
4647 -- 用户启动的注销
4672 -- 使用超级用户(如管理员)进行登录系统:
1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。安全:
4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。
例如:
1、管理员登录
使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672的事件产生。
2、执行系统命令
Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子:
进程创建 C:\Windows\System32\cmd.exe
进程创建 C:\Windows\System32\ipconfig.exe
进程终止 C:\Windows\System32\ipconfig.exe
3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?
net user USER PASSWORD /add net localgroup administrators USER /add
0x02 日志分析工具
2.1. Log Parser 2.2下载地址
https://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser的日志可以通过SQL进行查询。
2.1.1 sql字段
S:String 数组
调用格式:
EXTRACT_TOKEN(EventTypeName, 0, ' ') )
EventTypeName:字段名
0:顺序,从0开始
“|”:分隔符
T:Time。时间类
I:intger。整数类
T和I二者都是直接调用:
SELECT TO_DATE(TimeGenerated), TO_UPPERCASE( EXTRACT_TOKEN(EventTypeName, 0, ' ') ), SourceName FROM SystemTimeGenerated
2.1.2字段解释
RecordNumber:日志记录编号从0开始
TimeGenerated:事件生成时间
TimeWritten:事件记录时间
EventID:事件ID
EventType:事件类型
参考:Windows Logon Type的含义_flyhaze的专栏-CSDN博客
EventCategory:不懂。参考Windows API ReportEvent 写系统日志 - jqdy - 博客园
String:
各个位置含义:
0安全IP(SID) 1账号名称 2账户域 3登录ID 4安全ID 5账户名6账户域 7登录ID 8登录类型 9登录进程 10身份验证数据包11网络账户名称 12账号GUID 13网络账户域 14数据包名 15密钥长度16进程ID 17进程路径 18源网络地址 19源端口 20模拟级别21 22 23 24 虚拟账户 25 26 提升的令牌
EventLog:
各个位置含义:
0 文件绝对路径
EventTypeName
各个位置含义:
0 审核成功/审核失败
SourceName:来源
各个位置含义:
0:来源位置eg:Microsoft-Windows-Security-Auditing
SID:查看结果为全空
Message:消息
各个位置含义:
0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote compute
Data:全空
ComputerName:计算机名称
0 WIN-L5ST0VQ25FA
计算机名称
EventCategoryName
0 The name for category 12544 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer
主要字段为:TimeGenerated:事件生成时间 EventID:事件ID EventType:事件类型 String: EventLog ComputerName:计算机名称
2.1.3命令组成
基本格式:logparser -i:输入文件格式 [-输入文件参数] -o:输出文件格式 [-输出格式参数] "SQL 查询语句"
LogParser.exe -i:EVT "SELECT EventID as EventID,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') as ip FROM C:\Users\172.16.5.30\sec.evtx where EventID=4625"
EventID :该值为System节点下的EventID;
TimeGenerated:该值情况类似于EventID,时间
EXTRACT_TOKEN(Strings,5,'|'):该值为EventData部分的第六部分的值,为TargetUserName的值。
2.1.1. 常用命令
1.管理员登录时间和登录用户名(登陆成功)
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Strings,1,'|') as username,EXTRACT_TOKEN(Strings,5,'|') as username1,EXTRACT_TOKEN(Strings,19,'|') as ip,EventID,TimeGenerated FROM C:\sec.evtx where EventID = 4625
2. 查看(登陆失败)的记录
LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where EventID=4625"
3. RDP爆破使用的用户名及爆破次数
待续。。
Windows系统日志分析工具-- Log Parser相关推荐
- 日志分析工具 Log Parser
微软的Log Parser, 下载地址 https://www.microsoft.com/en-us/download/details.aspx?id=24659 支持多种文件格式的分析,输入输出, ...
- Solaris、Mac OS系统日志分析工具
Solaris.Mac OS系统日志分析工具 本节以PC服务器上常见的几种UNIX系统例如Solaris.Mac OS以及Sco Openserver系统为例如何在它们这些平台下查找系统日志. 一.用 ...
- 应急响应之windows日志分析工具logparser使用
目录 一.logparser简介 (一)logparser介绍 (二)下载链接 二.logparser安装 三.基本查询结构 四.使用Log Parser分析日志 (一)查询登录成功的事件 1. 登录 ...
- QQ浏览器性能提升之路-windows性能分析工具篇
作者:jackxpzhao 如果你要在Windows上面做性能相关的工作,那WPT一定是个必备的神器.WPT的全名是Windows Performance Toolkit,是Windows下用来进行性 ...
- window计算机日志分析详解,windows系统日志分析
一.Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些"不法之徒"将日志文件清洗一空的情况. 1. 修改日志文件存放目录 Windows日志 ...
- windows磁盘分析工具SpaceSniffer
搜索SpaceSniffer工具,直接下载,文件大小1m左右. 主要功能是分析磁盘文件大小. 举例:
- Windows系统日志分析
Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种 系统日志: System.evtx ...
- Windows IIS 日志分析研究(Log Parser Log Parser Lizard Log Parser Studio) update...
Windows主要有以下三类日志记录系统事件:应用程序日志.系统日志和安全日志. 存放目录:X:\Windows\System32\winevt\Logs\ System.evtx 系统日志 App ...
- 用Log Parser Studio分析IIS日志
发现一个强大的图形化IIS日志分析工具--Log Parser Studio,下面分享一个实际操作案例. 1. 安装Log Parser Studio a) 需要先安装Log Parser,下载地址: ...
- 应急响应——Windows日志分析
Windows系统日志记录系统中硬件.软件和系统问题的信息,同时还可疑监控系统中发生的事件.用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造) ...
最新文章
- 高级算法专家储开颜:无端不视频 阿里视频云三大端上技术能力
- 六、Linux 文件基本属性
- Spring xml 配置使用外部config 文件
- 如果有一天,我老无所依,请把我丢在迪拜捡垃圾……
- Jetty架构解析及应用示例
- 查看git当前tag_同学,也该学着用Git了......
- python编程入门经典-总算理解python编程入门经典教程
- Kubernetes 搭建 ES 集群(存储使用 cephfs)
- Web Api 返回图片流给前端
- 【个人项目总结】四则运算生成器
- 项目总结:初稿与定稿,方向相差180度
- java队列类_用Java编写一个队列类
- 让网页附件为Word或Excel的文件,下载时直接弹出下载对话框,而不打开它
- oracle空间查询
- Java基础常见笔试题总结
- Layui实现Eharts图表
- 微计算机原理与接口半期考试,最新南京邮电大学微型计算机原理与接口技术期末考试试卷...
- 基于SpringBoot的外卖点餐小程序 餐厅点单小程序
- Fluent材料属性之比热容计算方法
- windows 软件界面跑出屏幕外的处理方法
热门文章
- 表贴电阻尺寸与什么有关_贴片电阻、贴片电容规格、封装、尺寸、功率(转)
- 【Opencv卸载与重装】NVIDIA Xavier NX下,卸载opencv3,重装opencv4
- OpenCv4在Win10 VS2019上环境搭建
- 索尼 电视 android 8,索尼电视停止安卓8.0固件下载:因存在无法连接Wi-Fi的情况...
- bootice添加黑苹果引导_黑苹果OC(OpenCore)引导升级教程
- 详解JAVA对象实例化过程
- css实现椭圆绕圈动画
- java nio为什么是非阻塞_为什么java nio被称为同步非阻塞io?
- 数据库连接池原理之手写
- linux ftp命令大全,linux 操作 ftp 常用命令