应急响应篇_windowsLogparser使用

2020-04-07 16:38:12 浏览数 (1)

文章源自【字节脉搏社区】-字节脉搏实验室

作者-m9kj

概述:

Log Parser(微软网站下载)是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。

常见事件ID:

Logparser参数类型说明:

Logon Type 2 Interactive

交互登录。最常见的登录方式

Logon Type 3 – Network

网络登录。最常见的是访问网路共享文件夹或打印机。IIS认证也属于Logon Type 3 。

Logon Type 4 – Batch

计划任务

Logon Type 5 – Service

服务。某些服务用一个域账号来运行的,出现Failure常见的情况是管理员跟换了域密码但是忘了更改service的密码。

Logon Type 7 – Unlock

解除屏幕锁定。很多公司或者用户有这样的安全设置:当用户离开一段把时间,屏幕程序会锁定屏幕,解开屏幕输入账号密码就会产生该事件

Logon Type 8 – NetworkCleartext

网络明文登录,比如发生在IIS的ASP服务

Logon Type 9 – NewCredentials

新身份登录通常发生在RunAS方式运行的某程序时的登录验证

Logon Type 10 – RemoteInteractive

远程登录 产生事件10

Logon Type 11 – CachedInteractive

为方便笔记本用户,计算机会缓存前十次成功登录的登录

下载地址:

https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659

安装成功目录:

使用方式:

首先打开eventvwr.msc将所有事件保存到本地,然后打开logparser,输入指令:LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 日志路径”,然后会看到如下图:

(这是我windows10的数据,差不多10M,一共1W2K条记录,还是挺多的,如果是上百兆就很多了)

其实从eventvwr.msc看不出什么来,结果我们从这里看,看到了好多系统权限的登陆事件,我们需要对这些事件进行排查

另一种命令:

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM '日志路径’ WHERE EventID=4798"

运行结果如下图:

0 人点赞