应急响应 | 通过Python对Windows事件日志进行解析
Python-evtx
python-evtx是用于最近的Windows事件日志文件(文件扩展名为“ .evtx”的文件)的纯Python解析器。该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。
Python-evtx 安装下载
pip install python-evtx
GitHub链接
https://github.com/williballenthin/python-evtx
待解析Windows事件日志
- Security.evtx
- Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
- Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
LOG存放路径:C:\Windows\System32\winevt\Logs
事件ID号
系统
- 1074:通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
- 6005:表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
- 104:这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。
- 7030:服务创建错误。
- 7040:IPSEC服务服务的启动类型已从禁用更改为自动启动。
- 7045:服务创建
安全
- 4624:这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
- 4625:这个事件ID表示登陆失败的用户。
- 4720,4722,4723,4724,4725,4726,4738,4740:事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
- 4727,4737,4739,4762:事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。
根据EventID解析Windows事件日志文件
# -*- coding:UTF-8 -*-
import Evtx.Evtx as evtx
import Evtx.Views as e_views
from xml.etree import ElementTreeif __name__ == '__main__':# Windows事件日志路径EvtxPath = r"file.evtx"# 解析Windows事件日志with evtx.Evtx(EvtxPath) as log:for record in log.records():xml = record.xml().replace(''' xmlns="http://schemas.microsoft.com/win/2004/08/events/event"''',"")Eroot = ElementTree.fromstring(xml)# 事件IDEventID = Eroot.findall('System')[0].find('EventID').text# 计算机名称Computer = Eroot.findall('System')[0].find('Computer').text# 事件时间time = Eroot.findall('System')[0].find('TimeCreated').attrib['SystemTime']# 详细数据Datas = Eroot.findall('EventData')[0].findall('Data')# 匹配 账号登陆成功的事件信息 - 4624if EventID == "4624":# 输出事件时间、时间ID、计算机名称print time,EventID,Computer# 输出遍历数据for data in Datas:print data.get("Name"),data.text
应急响应 | 通过Python对Windows事件日志进行解析相关推荐
- Windows 事件日志分析管理
Windows 设备是大多数商业网络中最受欢迎的选择.为了处理这些设备生成的数 TB 的事件日志数据,安全管理员需要使用功能强大的日志管理工具(如EventLog Analyzer),该工具可以通过自 ...
- 记一次应急响应之ssh日志和apache2日志分析
文章目录 学习笔记连接 第一部分 查看系统情况 0x01 查看端口 0x02 账号安全 0x03 查看ssh日志信息 第一步 查看登陆成功的日志 第二步 查看正常退出的日志 第三步 连接到服务器,提示 ...
- 使用ELK分析Windows事件日志
这是ELK入门到实践系列的第三篇文章,分享如何使用ELK分析Windows事件日志. Windows系统日志是记录系统中硬件.软件和系统问题的信息,同时还可以监视系统中发生的事件.用户可以通过它来检查 ...
- Windows版本Oracle审计日志,【情报】Oracle ORA-28056: 未能将审计记录写入 Windows 事件日志...
今日创建新数据库时一直提示,写入audit到Windows 事件日志失败(Writing audit records to Windows Event Log failed),一路忽略,算是创建完成. ...
- SQL Server 无法生成 FRunCM 线程。请查看 SQL Server 错误日志和 Windows 事件日志(转)...
前言: 今天遇到这个sql服务无法启用 .无法登陆 的情况..在google 百度 搜了一下.发现很多网站都是采集来的数据..(很奇怪这些采集站都那么靠前!) 照着文章里边的方法去试试都不行,,,后来 ...
- windows log日志分割_如何将日志记录到 Windows事件日志 中
每当出现一些未捕获异常时,操作系统都会将异常信息写入到 Windows 事件日志 中,可以通过 Windows 事件查看器 查看,如下图: 这篇文章将会讨论如何使用编程的方式将日志记录到 Window ...
- 使用EventLog类写Windows事件日志
此文转自 银河使者 http://www.cnblogs.com/nokiaguy/archive/2009/02/26/1398708.html 多谢作者分享 操作系统: Windows XP ...
- Windows事件日志监控
大多数数据泄露属内部人员而为,但各企业在监控内部网络活动方面仍存在不足. 无论是大型还是小型企业,监控内部网络活动已成为其主要要求.要保护网络安全以防范泄露和威胁,各企业需要采取积极的措施来保证其网络 ...
- Syslog和Windows事件日志收集
Syslog和Windows事件日志收集 EventLog Analyzer从分布式Windows设备收集事件日志,或从分布式Linux和UNIX设备.交换机和路由器(Cisco)收集syslog.事 ...
最新文章
- linux系统主要常见目录结构
- tomcat自启动设置
- 房贷断供会有什么严重后果?
- error: ‘CUDNN_CONVOLUTION_FWD_ALGO_WINOGRAD’ was not declared in this scope
- 计算机一级繁体字转换,繁体字转换器
- 最大最小背光亮度修改
- logging日志模块
- C#连接Oracle中文乱码问题解决方法
- 【转】Prewitt 算子
- NBA的字母哥如何拿到2415万美金年薪
- mercurial/hg:大哥什么年代了连续传功能都没有?
- 1971年中国的预警机就上天了
- 公司签到考勤薪资表(Excel导入信息)
- Lenovo Quick Fix:在Win7系统镜像中注入USB3.0和NVMe驱动解决无法安装Win7的问题
- (半)自动化爬虫系统该包含的功能点及相关介绍
- python3调用arcpy地理加权回归_多元地理加权回归软件使用和含义
- jsp登陆界面链接mysql_用jsp实现网站登录界面的制作,并连接数据库
- 小皮phpstudy中的mysql无法启动,启动就马上停止
- office2016、visio2016和project2016安装指针
- 实验:跨域VPN-OptionC方式-方案二