日志分析工具-应急响应实战笔记
Log Parser
Log Parser (是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、 XML 文件、 CSV (逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、 Active Directory 。它可以像使用 SQL 语句 一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
Log Parser 2.2 下载地址: https://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser 使用示例: https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
基本查询结构
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"
使用 Log Parser 分析日志
1 、查询登录成功的事件
登录成功的所有事件LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"指定登录时间范围的事件:LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"提取登录成功的用户名和 IP :LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') asEventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') asUsername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"
2 、查询登录失败的事件
登录失败的所有事件:LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"提取登录失败用户名进行聚合统计:LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') asEventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) asTimes,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUPBY Message"
3 、系统历史开关机记录:
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtxwhere EventID=6005 or EventID=6006"
LogParser Lizard
对于 GUI 环境的 Log Parser Lizard ,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本
的 SQL 语句,就可以直观的得到结果。
下载地址: http://www.lizard-labs.com/log_parser_lizard.aspx
依赖包: Microsoft .NET Framework 4 .5 ,下载地址: https://www.microsoft.com/en-us/download/details.aspx?id
=42642
查询最近用户登录情况:
Event Log Explorer
Event Log Explorer 是一款非常好用的 Windows 日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系
统,应用程序和其他微软 Windows 的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
下载地址: https://event-log-explorer.en.softonic.com/
参考链接:
Windows 日志分析 https://mp.weixin.qq.com/s/ige5UO8WTuOOO3yRw-LeqQ