我們可以對windows日誌進行分析 比如我們分析域控日誌的時候,想要查詢賬戶登陸過程中,使用者正確,密碼錯誤的情況,我們需要統計出源ip,時間,使用者名稱時,我們可以這麼寫:
select timegenerated,extract\_token(strings,0,'|') as username,extract\_token(strings,2,'|') as service\_name,extract\_token(strings,5,'|') as client_ip from 'e:\logparser\xx.evtx' where eventid=675
使用log parser分析日誌
1、查詢登入成功的事件
登入成功的所有事件2、查詢登入失敗的事件logparser.exe -i:evt –o:datagrid "select * from c:security.evtx where eventid=4624"
指定登入時間範圍的事件:
logparser.exe -i:evt –o:datagrid "select * from c:security.evtx where timegenerated>'2018-06-19 23:32:11' and timegenerated<'2018-06-20 23:34:00' and eventid=4624"
提取登入成功的使用者名稱和ip:
logparser.exe -i:evt –o:datagrid "select extract_token(message,13,' ') as eventtype,timegenerated as logintime,extract_token(strings,5,'|') as username,extract_token(message,38,' ') as loginip from c:security.evtx where eventid=4624"
登入失敗的所有事件:3、系統歷史開關機記錄:logparser.exe -i:evt –o:datagrid "select * from c:security.evtx where eventid=4625"
提取登入失敗使用者名稱進行聚合統計:
logparser.exe -i:evt "select extract_token(message,13,' ') as eventtype,extract_token(message,19,' ') as user,count(extract_token(message,19,' ')) as times,extract_token(message,39,' ') as loginip from c:security.evtx where eventid=4625 group by message"
logparser.exe -i:evt –o:datagrid "select timegenerated,eventid,message from c:system.evtx where eventid=6005 or eventid=6006"
使用LogParser分析日誌
系統運維,少不了分析系統日誌,微軟有個工具log parser可以幫助你分析日誌。它功能強大,使用簡單,可以分析基於文字的日誌檔案 xml 檔案 csv 逗號分隔符 檔案,以及作業系統的事件日誌 登錄檔 檔案系統 active directory。它可以像使用 sql 語句一樣查詢分析這些資料,甚至...
log parser分析windows日誌
首先將windows安全日誌匯出,步驟如下 執行eventvwr.msc命令,開啟windows日誌,如下圖,將所有事件另存為 儲存完之後是乙個.evtx格式的檔案,將使用log parser分析這個匯出的日誌 分析命令如下 logparser.exe i evt select timegenera...
Log parser工具使用
windows日誌存放於目錄 c windows system32 winevt logs 中,分別對應系統日誌 安裝日誌 應用程式日誌和安全日誌 雙擊開啟,預設在事件檢視器中檢視 任務類別 關鍵字eventid 登入審核成功 登入審核失敗 登出審核成功 特殊登入 審核成功 憑據驗證 審核成功 o ...