如何通过Java读取到Windows系统日志evtx文件

这篇具有很好参考价值的文章主要介绍了如何通过Java读取到Windows系统日志evtx文件。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

近日公司有个需求,需要调研如何使用Java来读取Windows日志文件(类型:应用程序,安全,Setup,系统)

如何通过Java读取到Windows系统日志evtx文件

一番调研以后,在仅使用java的基础上系统日志文件似乎不太可能(就个人调研结果来看),再通过多渠道查询(百度、chargpt),找到2个可能的实现的方案:

1、使用Java来调用C++方法

JNA(Java Native Access)是可以让Java调用C++生成的DLL(动态链接库),将C++中的方法,以Java接口的方式来实现。
注:该方法理论是是可行的,但编者没有实践。。。

2、使用第三方工具来实现,微软的日志分析工具-LogParser

2.1 实现思路:

在本地安装LogParser,Java代码通过调用本机命令行的方式,调用LogParser,然后把分析后的结果,以csv的方式输出到文件中(LogParser可选多种输出方式),然后java再读取csv文件内容即可拿到日志信息。

2.2 Java调用命令行的代码
try {
    String logParserPath = "D:\\Program Files (x86)\\Log Parser 2.2\\LogParser.exe";
    ProcessBuilder processBuilder = new ProcessBuilder(logParserPath, "-i:EVT", "-o:csv", "SELECT * INTO D:\\output.csv FROM D:\\Security.evtx");
    Process process = processBuilder.start();
    process.waitFor();
} catch (IOException | InterruptedException e) {
    e.printStackTrace();
}

其中:D:\output.csv 为存储输出结果的文件地址,D:\Security.evtx为日志文件

2.3、 关于LogParser的一些使用文档信息

2.3.1:Log Parser的日志可以通过SQL进行查询

sql字段:

 EventLog(S)       RecordNumber(I)   TimeGenerated(T) 
 TimeWritten(T)    EventID(I)        EventType(I) 
 EventTypeName(S)  EventCategory(I)  EventCategoryName(S) 
 SourceName(S)     Strings(S)        ComputerName(S) 
 SID(S)            Message(S)        Data(s) 

S:String 数组

调用格式:

EXTRACT_TOKEN(EventTypeName, 0, '|') )
  EventTypeName:字段名
  0:顺序,从0开始
  |:分隔符

T:Time。时间类
I:intger。整数类

T和I二者都是直接调用:

  SELECT 
    TO_DATE(TimeGenerated), 
    RecordNumber,
    TO_UPPERCASE(EXTRACT_TOKEN(EventTypeName, 0, '|')), SourceName 
  FROM System

字段解析:
RecordNumber:日志记录编号从0开始
TimeGenerated:事件生成时间
TimeWritten:事件记录时间
EventID:事件ID
EventType:事件类型
Strings:字符串数组,应该对应者日志中的EventData,每个事件包含的信息应该不一样
如何通过Java读取到Windows系统日志evtx文件
这里只罗列了一部分字段,还有其它字段大家按需了解使用即可。文章来源地址https://www.toymoban.com/news/detail-517917.html

写在最后:

  • 此贴为编者自己记录所用,仅供参考
  • 写的比较乱,如有笔误,请指正
  • 未完待续

到了这里,关于如何通过Java读取到Windows系统日志evtx文件的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

    👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有

    2024年02月16日
    浏览(44)
  • java通过FTP跨服务器动态监听读取指定目录下文件数据

    1、文件数据在A服务器(windows)(不定期在指定目录下生成),项目应用部署在B服务器(Linux); 2、项目应用在B服务器,监听A服务器指定目录,有新生成文件,进行读取文件信息,持久化数据; 3、提供两块内容,第一安装windows FTP服务;第二项目源码,希望可以帮助到你

    2024年02月03日
    浏览(59)
  • 通过安全日志读取WFP防火墙放行日志

    前言 之前的文档中,描写了如何对WFP防火墙进行操作以及如何在防火墙日志中读取被防火墙拦截网络通讯的日志。这边文档,着重描述如何读取操作系统中所有被放行的网络通信行为。 读取系统中放行的网络通信行为日志,在win10之后的操作系统上,也可以通过前一篇提到的

    2024年02月12日
    浏览(31)
  • 使用Java局域网读取windows共享文件夹(smb协议)

    使用Java局域网读取windows共享文件夹(smb协议) SMB(全称是Server Message Block)是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。SMB最初是IBM的贝瑞·费根鲍姆(Barry Feigenbaum)研制的,其目的是将DOS操作系统中的本地文件接口“中断13”改造为网络文件系统

    2024年02月19日
    浏览(47)
  • 【网络安全---sql注入(2)】如何通过SQL注入getshell?如何通过SQL注入读取文件或者数据库数据?一篇文章告诉你过程和原理。

    分享一个非常详细的网络安全笔记,是我学习网安过程中用心写的,可以点开以下链接获取: 超详细的网络安全笔记 本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件,读取文件。通过SQL输入来注入木马来getshell等,讲解了比较详细的过程; 如果想要学习

    2024年02月07日
    浏览(51)
  • Windows11如何通过附近共享发送文件,附近共享传输文件到电脑

      Windows11如何通过附近共享发送文件 ?2018年,微软推出了名为Nearear Share(附近共享)的新功能。Near share是一种在PC之间传输文件的新方式,类似Airdrop的功能,只需要开启蓝牙和WiFi就能分享照片/影片/文件给另一台电脑,无须传输线、USB或者线上的网络空间分享档案!这也是

    2024年02月05日
    浏览(69)
  • Java如何读取文件文本内容的几种方式汇总

    本文为joshua317原创文章,转载请注明:转载自joshua317博客 Java如何读取文件文本内容的几种方式汇总 - joshua317的博客 本文为joshua317原创文章,转载请注明:转载自joshua317博客 Java如何读取文件文本内容的几种方式汇总 - joshua317的博客

    2024年02月12日
    浏览(71)
  • Java如何快速读取&解析JSON数据(文件),获取想要的内容?

    手打不易,如果转摘,请注明出处! 注明原文: https://zhangxiaofan.blog.csdn.net/article/details/132764186 目录 前言 准备工作 Json数据(示例) 解析Json文件 第一步:创建一个空类 第二步:使用 Gsonformat 插件  第三步:复制Json内容,创建对应类 第四步:读取Json文件,提取目标数据

    2024年02月05日
    浏览(73)
  • 关于exe4j如何将java jar包打包成windows系统exe可执行文件,并包含JDK环境,超详细教程

    最近做了几个javaFX桌面软件,因为是maven项目,最后打包出来的是jar包,windows系统下要运行jar包,首先要安装JDK环境,然后敲命令:java -jar xxx.jar,才能运行程序,这样会显得很麻烦。而且前提是用户已经安装了JDK环境,所以实用性大大降低。这时就需要把jar包转化成exe可执

    2024年04月28日
    浏览(47)
  • Windows环境下通过 系统定时 执行脚本方式 压缩并备份文件夹 到其他数据盘

    压缩时需要使用7-zip进行调用,因此根据自己电脑进行安装 官网:https://www.7-zip.org/ 新建记事本文件,重命名为git_back_up.bat 注意:如果不设置可能会导致定时任务无法执行 开“控制面板-管理工具-本地安全策略”,选择“安全设置-本地策略-安全选项”,在右边列表中找到“

    2024年02月14日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包