0


应急响应之windows日志分析工具logparser使用

一、logparser简介

(一)logparser介绍

    在windows事件查看器海量的日志中定位想要的一条记录不是简单的事情,logparser是微软官方提供的日志分析工具,可以很好的帮我们解决这个难题,我常用来定位登陆失败账号或者定位锁定账户日志,在应急响应场景中使用频率高。

(二)下载链接

https://www.microsoft.com/en-us/download/details.aspx?id=24659

二、logparser安装

    保持默认安装即可。

三、基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"
    -i指定输入源格式,-o指定输出格式,剩下的就是sql语句搞定的事情了。

四、使用Log Parser分析日志

(一)查询登录成功的事件

1. 登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where EventID=4624"

2. 指定登录时间范围的事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

(二)提取登录成功的用户名和IP

LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM D:\Security.evtx where EventID=4624"

(三)查询登录失败的事件

1. 登录失败的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\lock.evtx where EventID=4625"

2. 提取登录失败用户名进行聚合统计

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,13,'|')  as EventType,EXTRACT_TOKEN(Strings,19,'|') as user,count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,39,'|') as Loginip FROM D:\lock.evtx where EventID=4625 GROUP BY Strings"

(四)系统历史开关机记录

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

(五)查询哪些账号登陆失败的原因

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,5,'|')  as User ,EXTRACT_TOKEN(Strings,19,'|') as LoginIp,EXTRACT_TOKEN(Strings,8,'|') as Reason  FROM D:\lock.evtx where User='test' and  EventID=4625 GROUP BY Strings "
    **解释:**

    %%2307代表账号被锁定。

    EXTRACT_TOKEN(Strings,5,'|')函数是提取Strings中以|为分隔符的第5个值。

五、常见事件ID

**事件ID **说明1102清理审计日志4624账号成功登陆4625账号登陆失败4768kerberos身份认证(TGT请求)4769kerberos服务票证请求4776NTLM身份验证4672 授予特殊权限4720创建用户4726删除用户4728将成员添加到启用安全的全局组中4729将成员从安全的全局组中移除4732将成员添加到启用安全的本地组中4733将成员从安全的本地组中移除4756将成员添加到启用安全的通用组中4757将成员从安全的通用组中移除4719系统审计策略修改

标签: 网络安全 windows

本文转载自: https://blog.csdn.net/u013930899/article/details/125435551
版权归原作者 見贤思齊 所有, 如有侵权,请联系我们删除。

“应急响应之windows日志分析工具logparser使用”的评论:

还没有评论