windows日誌分析之Logparse

下載安裝：

微軟官方連接：https://www.microsoft.com/en-us/download/details.aspx?id=24659

直接點擊exe安裝便可。

一、瞭解windows系統日誌事件ID含義：

依據事件ID，在以下官網連接搜索。

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4634

 

二、利用可視化進行查看：

Logparser須要結合數據庫查詢語句一塊兒使用，通常使用兩種格式輸出日誌結果：-o:csv和-o:DATAGRID，均是相似表格形式。

2.1例子1----暴力破解登陸windows

Ø  登陸成功通常事件ID：4624  登陸失敗事件ID：4625.。詳細見上面。

 

Ø  登陸類型：不一樣登陸相似表明不一樣登陸。（通常病毒之類的會用

 

登陸類型	解釋
2	交互登陸。最多見的登陸方式
3	網絡登陸。最多見的是訪問網路共享文件夾或打印機。IIS認證也屬於Logon Type 3 。
4	計劃任務
5	服務。某些服務用一個域帳號來運行的，出現Failure常見的狀況是管理員跟換了域密碼可是忘了更改service的密碼。
7	解除屏幕鎖定。不少公司或者用戶有這樣的安全設置：當用戶離開一段把時間，屏幕程序會鎖定屏幕，解開屏幕輸入帳號密碼就會產生該事件
8	網絡明文登陸，好比發生在IIS的ASP服務
9	新身份登陸一般發生在RunAS方式運行的某程序時的登陸驗證
10	遠程登陸 產生事件10
11	爲方便筆記本用戶，計算機會緩存前十次成功登陸的登陸

 

 

Ø  導出日誌，利用Logparser輸出可視化結果。

查看所有字段：（基本不用，沒辦法看）

Logparser.exe –i:EVT "SELECT * FROM 日誌名稱（注意路徑問題）」

Ø  查看所有字段，且可視化輸出

方法一：Logparser.exe -i:EVT -o:DATAGRID "SELECT * FROM 160.evtx"

方法二：Logparser.exe -i:EVT -o:csv "SELECT * FROM 160.evtx" > 160.csv   （有個問題一旦日誌數量過大可能致使excle沒法顯示徹底，excle通常最多顯示6萬行）

Ø  查看所有字段，且可視化輸出，輸出想要的事件ID

Ø  從上面內容能夠看出，想要的字段都在Strings裏面，從這裏面篩選，源地址

 

LogParser.exe -i:EVT  -o:csv "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,19,'|') AS Client_IP,EXTRACT_TOKEN(Strings,20,'|') AS Client_PORT FROM '160.evtx' where eventID=4625" >160-2.csv

 

可根據數字修改要提取的字段，根據實際狀況修改提取表格strings.