0x01 windows應急日誌常用的幾個事件id
0x02 logontracer
logontracer是一款用於視覺化分析windows安全事件日誌尋找惡意登入的工具。它會將登入相關事件中找到的主機名(或ip位址)和帳戶名稱關聯起來,並將其以圖形化的方式展現出來。通過這種方式,可以看到哪個帳戶中發生過登入嘗試以及哪個主機被使用。基於此研究,該工具可以視覺化與windows登入相關的上述事件id。
0x03 github位址
這裡有logontracer的安裝方式
0x04 坑點
安裝好之後,開啟頁面可能會沒有反應,並且點選「upload event log」按鈕沒反應,這是因為js是引用了遠端js,而這些js在國內是無法訪問的。
解決方法:
1、修改hosts檔案,增加一行內容
151.139.237.11 cdn.rawgit.com
2、編輯**檔案index.html
將替換為https://
ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js
0x05 使用
若neo4j資料庫中存在節點資訊,需要手動刪除
match (n)optional match (n)-[r]-()
手動匯入日誌檔案方法:
python3 logontracer.py -e 日誌檔案 -z 8 -u neo4j使用者名稱 -p neo4j密碼 -s 本機ip位址
啟動logontracer
python3 logontracer.py -r -o 8080 -u neo4j使用者名稱 -p neo4j密碼 -s 本機ip位址
log parser分析windows日誌
首先將windows安全日誌匯出,步驟如下 執行eventvwr.msc命令,開啟windows日誌,如下圖,將所有事件另存為 儲存完之後是乙個.evtx格式的檔案,將使用log parser分析這個匯出的日誌 分析命令如下 logparser.exe i evt select timegenera...
postfix日誌分析工具
postfix的相關附加工具 pflogsumm是其中比較好的乙個日誌分析工具 安裝 使用 usr local bin pflogsumm var log maillog usr local bin pflogsumm d yesterday var log maillog crontab 0 3 ...
日誌分析工具goaccess
提到web伺服器就不得不說nginx。這款由俄羅斯人開發的小巧的web服務軟體近幾年來風靡大江南北 成為許多草根站長建設 的首選。但由於歷史原因,nginx 在日誌分析工具相較於傳統的apache lighthttp等要匱乏的多。作為效能測試工程師的我,無論在效能分析還是在測試環境維護都離不開日誌的...