可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客  写完才看见。吐了

0x01 基本设置 

事件ID及常见场景

对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。

4624  --登录成功
4625  --登录失败
4634 -- 注销成功
4647 -- 用户启动的注销
4672 -- 使用超级用户(如管理员)进行登录系统:
1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。安全:
4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

例如:

1、管理员登录

使用mstsc远程登录某个主机时,使用的帐户是管理员帐户的话,成功的情况下会有ID为4776、4648、4624、4672的事件产生。

2、执行系统命令

Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子:

进程创建 C:\Windows\System32\cmd.exe

进程创建 C:\Windows\System32\ipconfig.exe

进程终止 C:\Windows\System32\ipconfig.exe

3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?

net user  USER  PASSWORD /add
net localgroup administrators USER /add

 0x02 日志分析工具

2.1. Log Parser 2.2下载地址

https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser的日志可以通过SQL进行查询。

2.1.1 sql字段

S:String 数组

调用格式:

EXTRACT_TOKEN(EventTypeName, 0, ' ') )
EventTypeName:字段名
0:顺序,从0开始
“|”:分隔符

T:Time。时间类

I:intger。整数类

T和I二者都是直接调用:

SELECT TO_DATE(TimeGenerated), TO_UPPERCASE( EXTRACT_TOKEN(EventTypeName, 0, ' ') ), SourceName FROM SystemTimeGenerated

2.1.2字段解释

RecordNumber:日志记录编号从0开始

TimeGenerated:事件生成时间

TimeWritten:事件记录时间

EventID:事件ID

EventType:事件类型

参考:Windows Logon Type的含义_flyhaze的专栏-CSDN博客

EventCategory:不懂。参考Windows API ReportEvent 写系统日志 - jqdy - 博客园

String:

各个位置含义:

0安全IP(SID)        1账号名称         2账户域         3登录ID         4安全ID        5账户名6账户域        7登录ID        8登录类型        9登录进程        10身份验证数据包11网络账户名称        12账号GUID        13网络账户域        14数据包名        15密钥长度16进程ID        17进程路径        18源网络地址        19源端口        20模拟级别21        22        23         24 虚拟账户        25         26 提升的令牌

EventLog:

各个位置含义:

0 文件绝对路径

EventTypeName

各个位置含义:

0 审核成功/审核失败

SourceName:来源

各个位置含义:

0:来源位置eg:Microsoft-Windows-Security-Auditing

SID:查看结果为全空

Message:消息

各个位置含义:

0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote compute

Data:全空

ComputerName:计算机名称

0 WIN-L5ST0VQ25FA
计算机名称

EventCategoryName

0 The name for category 12544 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer

主要字段为:TimeGenerated:事件生成时间         EventID:事件ID        EventType:事件类型        String:         EventLog        ComputerName:计算机名称

2.1.3命令组成

 基本格式:logparser -i:输入文件格式 [-输入文件参数] -o:输出文件格式 [-输出格式参数] "SQL 查询语句"

LogParser.exe -i:EVT "SELECT  EventID as EventID,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') as ip FROM  C:\Users\172.16.5.30\sec.evtx where EventID=4625"

EventID :该值为System节点下的EventID;

TimeGenerated:该值情况类似于EventID,时间

EXTRACT_TOKEN(Strings,5,'|'):该值为EventData部分的第六部分的值,为TargetUserName的值。

2.1.1. 常用命令

1.管理员登录时间和登录用户名(登陆成功)

LogParser.exe -i:EVT "SELECT  EXTRACT_TOKEN(Strings,1,'|') as username,EXTRACT_TOKEN(Strings,5,'|') as username1,EXTRACT_TOKEN(Strings,19,'|') as ip,EventID,TimeGenerated FROM  C:\sec.evtx where EventID = 4625

2. 查看(登陆失败)的记录

LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:\11.evtx where EventID=4625"

3. RDP爆破使用的用户名及爆破次数

待续。。

Windows系统日志分析工具-- Log Parser相关推荐

  1. 日志分析工具 Log Parser

    微软的Log Parser, 下载地址 https://www.microsoft.com/en-us/download/details.aspx?id=24659 支持多种文件格式的分析,输入输出, ...

  2. Solaris、Mac OS系统日志分析工具

    Solaris.Mac OS系统日志分析工具 本节以PC服务器上常见的几种UNIX系统例如Solaris.Mac OS以及Sco Openserver系统为例如何在它们这些平台下查找系统日志. 一.用 ...

  3. 应急响应之windows日志分析工具logparser使用

    目录 一.logparser简介 (一)logparser介绍 (二)下载链接 二.logparser安装 三.基本查询结构 四.使用Log Parser分析日志 (一)查询登录成功的事件 1. 登录 ...

  4. QQ浏览器性能提升之路-windows性能分析工具篇

    作者:jackxpzhao 如果你要在Windows上面做性能相关的工作,那WPT一定是个必备的神器.WPT的全名是Windows Performance Toolkit,是Windows下用来进行性 ...

  5. window计算机日志分析详解,windows系统日志分析

    一.Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些"不法之徒"将日志文件清洗一空的情况. 1. 修改日志文件存放目录 Windows日志 ...

  6. windows磁盘分析工具SpaceSniffer

    搜索SpaceSniffer工具,直接下载,文件大小1m左右. 主要功能是分析磁盘文件大小. 举例:

  7. Windows系统日志分析

    Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种 系统日志:        System.evtx        ...

  8. Windows IIS 日志分析研究(Log Parser Log Parser Lizard Log Parser Studio) update...

    Windows主要有以下三类日志记录系统事件:应用程序日志.系统日志和安全日志. 存放目录:X:\Windows\System32\winevt\Logs\ System.evtx  系统日志 App ...

  9. 用Log Parser Studio分析IIS日志

    发现一个强大的图形化IIS日志分析工具--Log Parser Studio,下面分享一个实际操作案例. 1. 安装Log Parser Studio a) 需要先安装Log Parser,下载地址: ...

  10. 应急响应——Windows日志分析

    Windows系统日志记录系统中硬件.软件和系统问题的信息,同时还可疑监控系统中发生的事件.用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造) ...

最新文章

  1. 【牛腩新闻发布系统】系统发布06
  2. html5 css3雪花效果,HTML5 | CSS3水晶皇冠雪花形状
  3. Mac下编译Android源码,并导入IntelliJ IDEA进行源码阅读
  4. qt中关闭窗口资源释放问题
  5. 关于const记录类型全局变量赋初值的问题
  6. NOIP2012复赛 普及组 第一题
  7. 为什么科学家这么痴迷于研究僵尸?
  8. 算法设计分析(44页)
  9. Xamarin.Forms 仿照京东搜索记录控件
  10. 让无线更自由 TOTOLINK EX750无线中继评测
  11. 【计算机网络】数据链路层 : 后退 N 帧协议 GBN ( 滑动窗口 | 发送窗口长度 | “发送方“ 累计确认、超时机制 | “接收方“ 按序接收、确认帧发送机制 | 计算示例 )★
  12. Java项目:(小程序)前台+后台相结合水果商城系统(spring+spring mvc+mybatis+layui+微信小程)
  13. 保姆级教程:基于Docker部署雨中冒险2服务器 雨中冒险2开服
  14. CountDownTimer 倒计时封装(可 暂停 继续 重新开始)
  15. 水电表、工控、医用电子设备等超低功耗段码LCD液晶显示驱动IC-VKL144A/B,TSSOP48/QFN48,工作电流<10微安,可完全兼容替代PCF8551、MCP144、BU9792、9B92等
  16. 一只一元甜筒,一年卖了1200万,宜家的销售阴谋!
  17. 基于Python+django的茶叶销售商城网站-计算机毕业设计
  18. 【日常计算机问题】解决能使用网络但打不开网页的问题
  19. PEGAXY首创科幻类赛马游戏
  20. c++ 字符串相关函数

热门文章

  1. AD转换及其相关背景知识
  2. excel多元线性拟合_使用Excel数据分析工具进行多元回归分析的方法
  3. html实现画板的基本操作,JavaScript操作Canvas实现画板实例分析
  4. 整流五 - PWM整流器无差拍控制 一(重复控制算法)
  5. 计算机功率在线测试,电脑功耗计算在线测试
  6. Excel合并多个文件
  7. EXCEL去掉所有英文
  8. 如何在云服务器上安装kali系统
  9. 「行业化、产业化、专业化」,解析中科曙光眼中的大数据现状和未来
  10. 训练集和测试集的产生方法