豆子今天想看看powershell是否有像winsock之類的方式抓包,不過很遺憾,他有乙個netevenpacketcapture的模組,但是他不像wireshark那樣可以直接抓取tcp/ip包,他獲取的是windows的網路日誌。優點是我可以直接用get-winevent來分析內容了,缺點是我還是看不見直接的包的內容。
整個模組一共有23個命令,新手一般會比較迷糊到底怎麼用。
豆子主要參考了微軟的這個部落格來進行的配置
簡單的說,6個基本步驟:
建立session
繫結provider
開始session
獲取這個session的日誌
關掉這個session
刪除這個session
1.建立乙個新的session,他會告訴我日誌儲存的位址
2.繫結provider,首先通過logman看看有哪些provider可以使用
然後繫結這個provider
3. 開始這個session,沒有什麼結果出來,不過ps的設計和linux一樣,no news is good news, 沒報錯就是好結果
1
start-neteventsession
-name 「session1"
4. 開始抓取日誌
5.等一會然後停止
1
stop-neteventsession
-name session1
6. 刪除
1
remove-neteventsession
注意生成的日誌格式是etl格式的,這個格式是沒法用wireshark之類的抓包工具開啟的,不過我們可以直接用事件檢視器直接開啟,如下圖所示
如果需要用指令碼處理,這個和處理普通的windows日誌一樣,直接用get-winevent就可以了
注意必須倒序排列才行。
比如我只需要檢視id為1300的日誌
我想檢視最後的記錄
如果我想處理message的內容,可以轉換成xml格式,然後檢視eventdata的內容,比如
通過這種方式,我可以設定計畫任務,在指定的時間內抓取網路日誌,然後進行分析。
PowerShell 抓取網路日誌
豆子今天想看看powershell是否有像winsock之類的方式抓包,不過很遺憾,他有乙個netevenpacketcapture的模組,但是他不像wireshark那樣可以直接抓取tcp ip包,他獲取的是windows的網路日誌。優點是我可以直接用get winevent來分析內容了,缺點是我...
Powershell 查詢 Windows 日誌
論壇裡面有人詢問如何使用powershell指令碼查詢檔案修改的審計日誌,豆子伺服器沒開這個功能,不過嘗試寫了個類似的指令碼可以查詢日誌,並輸出對應的xml內容。基本方法是get winevent,可以指定對應的eventid,獲取列表。如果想獲取這個事件具體的內容,需要根據不同事件的xml內容進行...
python 抓取城市7日天氣
1 首先開啟氣象 開啟開發者工具,1.1可以看到7日的天氣所在位置 1.2 具體每日的天氣屬性 在li class中,2 使用 python庫函式獲取網頁資訊 url webpage req.urlopen url 根據超鏈訪問鏈結的網頁 data webpage.read 讀取超鏈網頁資料 dat...