PowerShell 抓取網路日誌

2021-09-04 06:43:20 字數 1871 閱讀 6367

豆子今天想看看powershell是否有像winsock之類的方式抓包,不過很遺憾,他有乙個netevenpacketcapture的模組,但是他不像wireshark那樣可以直接抓取tcp/ip包,他獲取的是windows的網路日誌。優點是我可以直接用get-winevent來分析內容了,缺點是我還是看不見直接的包的內容。

整個模組一共有23個命令,新手一般會比較迷糊到底怎麼用。

豆子主要參考了微軟的這個部落格來進行的配置

簡單的說,6個基本步驟:

建立session

繫結provider

開始session

獲取這個session的日誌

關掉這個session

刪除這個session

1.建立乙個新的session,他會告訴我日誌儲存的位址

2.繫結provider,首先通過logman看看有哪些provider可以使用

然後繫結這個provider

3. 開始這個session,沒有什麼結果出來,不過ps的設計和linux一樣,no news is good news, 沒報錯就是好結果

start-neteventsession -name 「session1"
4. 開始抓取日誌

5.等一會然後停止

stop-neteventsession -name session1
6. 刪除

remove-neteventsession
注意生成的日誌格式是etl格式的,這個格式是沒法用wireshark之類的抓包工具開啟的,不過我們可以直接用事件檢視器直接開啟,如下圖所示

如果需要用指令碼處理,這個和處理普通的windows日誌一樣,直接用get-winevent就可以了

注意必須倒序排列才行。

比如我只需要檢視id為1300的日誌

我想檢視最後的記錄

如果我想處理message的內容,可以轉換成xml格式,然後檢視eventdata的內容,比如

通過這種方式,我可以設定計畫任務,在指定的時間內抓取網路日誌,然後進行分析。

PowerShell 抓取網路日誌

豆子今天想看看powershell是否有像winsock之類的方式抓包,不過很遺憾,他有乙個netevenpacketcapture的模組,但是他不像wireshark那樣可以直接抓取tcp ip包,他獲取的是windows的網路日誌。優點是我可以直接用get winevent來分析內容了,缺點是我...

Powershell 查詢 Windows 日誌

論壇裡面有人詢問如何使用powershell指令碼查詢檔案修改的審計日誌,豆子伺服器沒開這個功能,不過嘗試寫了個類似的指令碼可以查詢日誌,並輸出對應的xml內容。基本方法是get winevent,可以指定對應的eventid,獲取列表。如果想獲取這個事件具體的內容,需要根據不同事件的xml內容進行...

python 抓取城市7日天氣

1 首先開啟氣象 開啟開發者工具,1.1可以看到7日的天氣所在位置 1.2 具體每日的天氣屬性 在li class中,2 使用 python庫函式獲取網頁資訊 url webpage req.urlopen url 根據超鏈訪問鏈結的網頁 data webpage.read 讀取超鏈網頁資料 dat...