1. Toy模板网首页
  2. > Toy博客

应急响应之windows日志分析工具logparser使用

10月前 作者:見贤思齊 分类:Toy博客 阅读(42) 违法举报

这篇具有很好参考价值的文章主要介绍了应急响应之windows日志分析工具logparser使用。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、logparser简介

(一)logparser介绍

(二)下载链接

二、logparser安装

三、基本查询结构

四、使用Log Parser分析日志

(一)查询登录成功的事件

1. 登录成功的所有事件

2. 指定登录时间范围的事件

(二)提取登录成功的用户名和IP

(三)查询登录失败的事件

1. 登录失败的所有事件

2. 提取登录失败用户名进行聚合统计

(四)系统历史开关机记录

(五)查询哪些账号登陆失败的原因

五、常见事件ID

一、logparser简介

(一)logparser介绍

        在windows事件查看器海量的日志中定位想要的一条记录不是简单的事情,logparser是微软官方提供的日志分析工具,可以很好的帮我们解决这个难题,我常用来定位登陆失败账号或者定位锁定账户日志,在应急响应场景中使用频率高。

(二)下载链接

https://www.microsoft.com/en-us/download/details.aspx?id=24659

二、logparser安装

        保持默认安装即可。

三、基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

        -i指定输入源格式,-o指定输出格式,剩下的就是sql语句搞定的事情了。

四、使用Log Parser分析日志

(一)查询登录成功的事件

1. 登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where EventID=4624"

2. 指定登录时间范围的事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

(二)提取登录成功的用户名和IP

LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM D:\Security.evtx where EventID=4624"

(三)查询登录失败的事件

1. 登录失败的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM D:\lock.evtx where EventID=4625"

2. 提取登录失败用户名进行聚合统计

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,13,'|')  as EventType,EXTRACT_TOKEN(Strings,19,'|') as user,count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,39,'|') as Loginip FROM D:\lock.evtx where EventID=4625 GROUP BY Strings"

(四)系统历史开关机记录

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"

(五)查询哪些账号登陆失败的原因

LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Strings,5,'|')  as User ,EXTRACT_TOKEN(Strings,19,'|') as LoginIp,EXTRACT_TOKEN(Strings,8,'|') as Reason  FROM D:\lock.evtx where User='test' and  EventID=4625 GROUP BY Strings "

        解释:

        %%2307代表账号被锁定。

        EXTRACT_TOKEN(Strings,5,'|')函数是提取Strings中以|为分隔符的第5个值。文章来源地址https://www.toymoban.com/news/detail-408079.html

五、常见事件ID

事件ID  说明
1102 清理审计日志
4624 账号成功登陆
4625 账号登陆失败
4768 kerberos身份认证(TGT请求)
4769 kerberos服务票证请求
4776 NTLM身份验证
4672  授予特殊权限
4720 创建用户
4726 删除用户
4728 将成员添加到启用安全的全局组中
4729 将成员从安全的全局组中移除
4732 将成员添加到启用安全的本地组中
4733 将成员从安全的本地组中移除
4756 将成员添加到启用安全的通用组中
4757 将成员从安全的通用组中移除
4719 系统审计策略修改

到了这里,关于应急响应之windows日志分析工具logparser使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

    应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。 msconfig是Windows自带的系统配置实用程序

    2023年04月17日
    浏览(56)
  • 应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

    应急响应 - Windows进程分析,Windows网络分析,tasklist,wmic process

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 tasklist命令用来查看计算机上的进程,默认显示所有进程。 参数/v,可以显示详细信息,也就是显示所有

    2023年04月14日
    浏览(56)
  • Pywirt:一款基于Python的Windows安全应急响应工具

    Pywirt:一款基于Python的Windows安全应急响应工具

    Pywirt是一款基于Python开发的网络安全工具,该工具专门针对Windows操作系统设计,可以帮助广大研究人员使用winrm并通过在Windows操作系统上收集各种信息来加快安全事件应急响应的速度。 该工具已在Windows 10操作系统上进行过完整测试。 该工具支持在Windows操作系统上收集下列

    2024年02月05日
    浏览(38)
  • logparser日志分析详解

    logparser日志分析详解

    Logparser是微软的一款日志分析工具,使用方便功能强大。 支持的日志类型: IISW3C,NCSA,IIS,IISODBC,BIN,IISMSID,HTTPERR,URLSCAN,CSV,TSV,W3C,XML,EVT, ETW,NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS,COM 可输出的文件类型 CSV, TSV, XML, DATAGRID, CHART, SYSLOG,NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL 查询语法与SQL语句一样,所

    2024年02月11日
    浏览(34)
  • Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理

    Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理

    本文将会从攻防的角度分析常用 webshell 管理工具(菜刀、蚁剑、冰蝎2.0,冰蝎3.0、哥斯拉将在下篇介绍)的流量特点,后半部分会整理一些有关 webshell 入侵检测和应急响应的文章 先从最简单的开始吧,菜刀也算是比较早的 webshell 管理工具了,加密方式比较简单,这里分析

    2024年02月02日
    浏览(46)
  • Linux 应急响应-溯源-系统日志排查

    Linux 应急响应-溯源-系统日志排查

    w 是一个命令行工具,它可以展示当前登录用户信息,并且每个用户正在做什么。它同时展示以下信 息:系统已经运行多长时间,当前时间,和系统负载。 第一行展示的信息和 uptime 命令运行结果一样。它包含了下列信息: 10:45:27 系统当前时间 up 3 min 系统上线时间 1 user 登录

    2024年01月25日
    浏览(43)
  • Windows应急响应排查思路,应急响应基础技能

    Windows应急响应排查思路,应急响应基础技能

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月01日
    浏览(63)
  • [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

    [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

    👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有

    2024年02月16日
    浏览(46)

  • 网络安全从入门到精通(特别篇I):Windows安全事件应急响应之Windows应急响应基础必备技能

    事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。 入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主

    2024年04月15日
    浏览(57)
  • Windows应急响应小结

    Windows应急响应小结

    目录 应急响应流程 账户排查 网络排查 进程排查 内存分析 日志分析 PDCERF模型 P(Preparation 准备):信息搜集,工具准备 D(Detection 检测):了解资产现状,明确造成影响,尝试进行攻击路径溯源 C(Containment 遏制):关闭端口、服务,停止进程,拔网线 E(Eradication 根除):

    2024年04月27日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包