0
0

应急响应之windows日志分析工具logparser使用

一、logparser简介

(一)logparser介绍

    在windows事件查看器海量的日志中定位想要的一条记录不是简单的事情,logparser是微软官方提供的日志分析工具,可以很好的帮我们解决这个难题,我常用来定位登陆失败账号或者定位锁定账户日志,在应急响应场景中使用频率高。

(二)下载链接

https://www.microsoft.com/en-us/download/details.aspx?id=24659

二、logparser安装

    保持默认安装即可。

三、基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

    -i指定输入源格式,-o指定输出格式,剩下的就是sql语句搞定的事情了。

四、使用Log Parser分析日志

(一)查询登录成功的事件

1. 登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where EventID=4624"

2. 指定登录时间范围的事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

(二)提取登录成功的用户名和IP

LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM D:\Security.evtx where EventID=4624"

(三)查询登录失败的事件

1. 登录失败的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\lock.evtx where EventID=4625"

2. 提取登录失败用户名进行聚合统计

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,13,'|')  as EventType,EXTRACT_TOKEN(Strings,19,'|') as user,count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,39,'|') as Loginip FROM D:\lock.evtx where EventID=4625 GROUP BY Strings"

(四)系统历史开关机记录

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

(五)查询哪些账号登陆失败的原因

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,5,'|')  as User ,EXTRACT_TOKEN(Strings,19,'|') as LoginIp,EXTRACT_TOKEN(Strings,8,'|') as Reason  FROM D:\lock.evtx where User='test' and  EventID=4625 GROUP BY Strings "

    **解释:**

    %%2307代表账号被锁定。

    EXTRACT_TOKEN(Strings,5,'|')函数是提取Strings中以|为分隔符的第5个值。

五、常见事件ID

**事件ID **说明1102清理审计日志4624账号成功登陆4625账号登陆失败4768kerberos身份认证(TGT请求)4769kerberos服务票证请求4776NTLM身份验证4672 授予特殊权限4720创建用户4726删除用户4728将成员添加到启用安全的全局组中4729将成员从安全的全局组中移除4732将成员添加到启用安全的本地组中4733将成员从安全的本地组中移除4756将成员添加到启用安全的通用组中4757将成员从安全的通用组中移除4719系统审计策略修改

标签: 网络安全 windows
本文转载自: https://blog.csdn.net/u013930899/article/details/125435551
版权归原作者 見贤思齊 所有, 如有侵权,请联系我们删除。
登录后发布评论

“应急响应之windows日志分析工具logparser使用”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

文件系统及NTFS安全权限

安全政策与安全意识(下)

Docker的镜像制作

在Centos7中安装Hadoop详细教程

Strimzi Kafka Bridge 使用指南

Clickhouse 的分布式架构说明——Clickhouse 架构篇(五)

探索Fedora Linux:开源世界的璀璨明珠

文章导航