Windows日志使用 电脑日志怎么看( 二 )
快速提取关键事件,效果如下图所示:
文章插图
相关工具
1、日志解析器
下载地址:https://www.microsoft.com/en-us/download/details.aspx?.身份证资源网=24659 。
使用示例:https://mlichtenberg . WordPress . com/2011/02/03/log-parser-rocks-50以上-示例/
日志分析器是由微软公司生产的 。它功能强大,易于使用 。它可以分析基于文本的日志文件、XML文件、CSV(逗号分隔)文件、微软视窗操作系统的事件日志、注册表、文件系统和活动目录 。
日志解析器使用SQL语法查询分析日志,甚至在各种图表中显示分析结果 。
基本查询结构
Logparser.exe–i:EVT–o:DATAGRID"SELECT*FROM.\xx.evtx"分析日志
(1)查询登录成功的事件 。
登录成功的所有事件LogParser.exe-i:EVT–o:DATAGRID"SELECTrecordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereEventID=4624"指定登录时间范围的事件:LogParser.exe-i:EVT–o:DATAGRID"SELECTrecordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereTimeGenerated>'2021-04-2500:00:01'andTimeGenerated<'2021-04-3000:00:01'andEventID=4624"提取登录成功的用户名和IP:LogParser.exe-i:EVT–o:DATAGRID"SELECTEXTRACT_TOKEN(Message,13,'')as&nbs资源网p;EventType,TimeGeneratedasLoginTime,EXTRACT_TOKEN(Strings,5,'|')asUsername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereEventID=4624"查询登录成功的事件,效果如下图所示:
文章插图
(2)查询登录失败事件 。
登录失败的所有事件:LogParser.exe-i:EVT–o:DATAGRID"SELECTrecordnumber,timegenerated,eventid,Computername,EXTRACT_TOKEN(Message,38,'')asLoginipFROM.\Security1.evtxwhereEventID=4625"提取登录失败用户名进行聚合统计:LogParser.exe-i:EVT"SELECTEXTRACT_TOKEN(Message,13,'')asEventType,EXTRACT_TOKEN(Message,19,'')asuser,count(EXTRACT_TOKEN(Message,19,''))asTimes,EXTRACT_TOKEN(Message,39,'')asLoginipFROM.\Security1.evtxwhereEventID=4625GROUPBYMessage"聚合登录失败事件,效果如下图所示:
文章插图
(3)历史系统启动和关闭记录 。
LogParser.exe-i:EVT–o:DATAGRID"SELECTTimeGenerated,EventID,MessageFROM.\System1.evtxwhereEventID=6005orEventID=6006"查询开关机事件,效果如下图所示:
文章插图
2、日志解析器蜥蜴
logParser蜥蜴有一个图形界面,其中封装了LogParser命令,使得操作更加简单 。与此同时,它还整合了美学 。ultrachart.core.v4.3和Infragistics.EXCEL.v4.3.dll等 。,查询结果可以以图表或Excel格式显示 。像logParser一样,Log Parser蜥蜴可以分析服务器日志、网站日志等 。,并支持基于文本的日志文件、XML文件等 。
日志蜥蜴下载地址:https://lizard-labs.com/log_parser_lizard.aspx.
依赖包框架4 .5,下载地址:https://www.microsoft.com/en-us/download/details.aspx?. id = 42642
查询登录成功的事件,效果如下图所示:
文章插图
3、事件日志浏览器
事件浏览器是一个非常有用的Windows日志分析工具 。它可以用来查看、监控、分析和记录事件,包括微软视窗的安全、系统、应用程序和其他记录的事件 。其强大的过滤功能可以快速过滤出有价值的信息 。
事件浏览器下载地址:https://event-log-explorer.en.softonic.com/.
查询登录成功的事件,效果如下图所示:
文章插图
情况分析
1、坏USB
在一些近源渗透案例中,攻击者使用BadUSB攻击公司员工的BYOD 。要追踪此类攻击,需要注意系统中安装硬件设备的时间,并确保在追踪之前已经正确配置了审核策略 。
有几个事件id需要关注:
文章插图
查询系统中历史USB设备安装事件,效果如下图所示:
文章插图
2.WIFI钓鱼 。
在一些近源渗透案例中,攻击者使用WIFI伪造对办公区域进行网络钓鱼攻击 。为了跟踪此类攻击,有必要重点分析系统访问了哪些相关联的无线网络接入点和位置,并确保在继续之前正确配置了审核策略 。
推荐阅读
- 传真机使用常见问题 传真机的使用
- 延长锂电池的寿命 锂电池的正确使用方法
- windows安全中心如何关闭 安全中心怎么关闭
- windows如何安装字体 win10电脑安装字体
- 使用代理服务器有哪些作用? 使用代理服务器
- 怎么正确使用烤箱? 电烤箱使用方法
- 神仙水的正确使用方法顺序 Sk2神仙水的正确使用方法
- 红酒开瓶小技巧 红酒开瓶器怎么用
- 房屋遗产继承(只有使用权的房子可以继承吗)
- 如何来正确使用冰箱! 冰箱使用注意事项