应急响应之windows日志分析工具logparser使用

一、logparser简介

（一）logparser介绍

    在windows事件查看器海量的日志中定位想要的一条记录不是简单的事情，logparser是微软官方提供的日志分析工具，可以很好的帮我们解决这个难题，我常用来定位登陆失败账号或者定位锁定账户日志，在应急响应场景中使用频率高。

（二）下载链接

https://www.microsoft.com/en-us/download/details.aspx?id=24659

二、logparser安装

    保持默认安装即可。

三、基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

    -i指定输入源格式，-o指定输出格式，剩下的就是sql语句搞定的事情了。

四、使用Log Parser分析日志

（一）查询登录成功的事件

1. 登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where EventID=4624"

2. 指定登录时间范围的事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

（二）提取登录成功的用户名和IP

LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM D:\Security.evtx where EventID=4624"

（三）查询登录失败的事件

1. 登录失败的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\lock.evtx where EventID=4625"

2. 提取登录失败用户名进行聚合统计

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,13,'|')  as EventType,EXTRACT_TOKEN(Strings,19,'|') as user,count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,39,'|') as Loginip FROM D:\lock.evtx where EventID=4625 GROUP BY Strings"

（四）系统历史开关机记录

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

（五）查询哪些账号登陆失败的原因

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,5,'|')  as User ,EXTRACT_TOKEN(Strings,19,'|') as LoginIp,EXTRACT_TOKEN(Strings,8,'|') as Reason  FROM D:\lock.evtx where User='test' and  EventID=4625 GROUP BY Strings "

    **解释：**

    %%2307代表账号被锁定。

    EXTRACT_TOKEN(Strings,5,'|')函数是提取Strings中以|为分隔符的第5个值。

五、常见事件ID

**事件ID **说明1102清理审计日志4624账号成功登陆4625账号登陆失败4768kerberos身份认证（TGT请求）4769kerberos服务票证请求4776NTLM身份验证4672 授予特殊权限4720创建用户4726删除用户4728将成员添加到启用安全的全局组中4729将成员从安全的全局组中移除4732将成员添加到启用安全的本地组中4733将成员从安全的本地组中移除4756将成员添加到启用安全的通用组中4757将成员从安全的通用组中移除4719系统审计策略修改

标签：网络安全 windows

本文转载自: https://blog.csdn.net/u013930899/article/details/125435551
版权归原作者 見贤思齊 所有，如有侵权，请联系我们删除。