windows日志分析之Logparse

下载安装：

微软官方连接：https://www.microsoft.com/en-us/download/details.aspx?id=24659

直接点击exe安装便可。

一、了解windows系统日志事件ID含义：

依据事件ID，在以下官网连接搜索。

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4634

 

二、利用可视化进行查看：

Logparser须要结合数据库查询语句一块儿使用，通常使用两种格式输出日志结果：-o:csv和-o:DATAGRID，均是相似表格形式。

2.1例子1----暴力破解登陆windows

Ø  登陆成功通常事件ID：4624  登陆失败事件ID：4625.。详细见上面。

 

Ø  登陆类型：不一样登陆相似表明不一样登陆。（通常病毒之类的会用

 

登陆类型	解释
2	交互登陆。最多见的登陆方式
3	网络登陆。最多见的是访问网路共享文件夹或打印机。IIS认证也属于Logon Type 3 。
4	计划任务
5	服务。某些服务用一个域帐号来运行的，出现Failure常见的状况是管理员跟换了域密码可是忘了更改service的密码。
7	解除屏幕锁定。不少公司或者用户有这样的安全设置：当用户离开一段把时间，屏幕程序会锁定屏幕，解开屏幕输入帐号密码就会产生该事件
8	网络明文登陆，好比发生在IIS的ASP服务
9	新身份登陆一般发生在RunAS方式运行的某程序时的登陆验证
10	远程登陆 产生事件10
11	为方便笔记本用户，计算机会缓存前十次成功登陆的登陆

 

 

Ø  导出日志，利用Logparser输出可视化结果。

查看所有字段：（基本不用，没办法看）

Logparser.exe –i:EVT "SELECT * FROM 日志名称（注意路径问题）”

Ø  查看所有字段，且可视化输出

方法一：Logparser.exe -i:EVT -o:DATAGRID "SELECT * FROM 160.evtx"

方法二：Logparser.exe -i:EVT -o:csv "SELECT * FROM 160.evtx" > 160.csv   （有个问题一旦日志数量过大可能致使excle没法显示彻底，excle通常最多显示6万行）

Ø  查看所有字段，且可视化输出，输出想要的事件ID

Ø  从上面内容能够看出，想要的字段都在Strings里面，从这里面筛选，源地址

 

LogParser.exe -i:EVT  -o:csv "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,19,'|') AS Client_IP,EXTRACT_TOKEN(Strings,20,'|') AS Client_PORT FROM '160.evtx' where eventID=4625" >160-2.csv

 

可根据数字修改要提取的字段，根据实际状况修改提取表格strings.