下載安裝:
微軟官方鏈接:https://www.microsoft.com/en-us/download/details.aspx?id=24659
直接點擊exe安裝即可。
1、瞭解windows系統日誌事件ID含義:
依據事件ID,在如下官網鏈接搜索。
https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4634
2、利用可視化進行查看:
Logparser需要結合數據庫查詢語句一起使用,一般使用兩種格式輸出日誌結果:-o:csv和-o:DATAGRID,均是類似表格形式。
2.1例子1----暴力破解登錄windows
Ø 登錄成功一般事件ID:4624 登錄失敗事件ID:4625.。詳細見上面。
Ø 登錄類型:不同登錄類似代表不同登錄。(一般病毒之類的會用
登錄類型 | 解釋 |
2 | 交互登錄。最常見的登錄方式 |
3 | 網絡登錄。最常見的是訪問網路共享文件夾或打印機。IIS認證也屬於Logon Type 3 。 |
4 | 計劃任務 |
5 | 服務。某些服務用一個域賬號來運行的,出現Failure常見的情況是管理員跟換了域密碼但是忘了更改service的密碼。 |
7 | 解除屏幕鎖定。很多公司或者用戶有這樣的安全設置:當用戶離開一段把時間,屏幕程序會鎖定屏幕,解開屏幕輸入賬號密碼就會產生該事件 |
8 | 網絡明文登錄,比如發生在IIS的ASP服務 |
9 | 新身份登錄通常發生在RunAS方式運行的某程序時的登錄驗證 |
10 | 遠程登錄 產生事件10 |
11 | 爲方便筆記本用戶,計算機會緩存前十次成功登錄的登錄 |
Ø 導出日誌,利用Logparser輸出可視化結果。
查看全部字段:(基本不用,沒辦法看)
Logparser.exe –i:EVT "SELECT * FROM 日誌名稱(注意路徑問題)”
Ø 查看全部字段,且可視化輸出
方法一:Logparser.exe -i:EVT -o:DATAGRID "SELECT * FROM 160.evtx"
方法二:Logparser.exe -i:EVT -o:csv "SELECT * FROM 160.evtx" > 160.csv (有個問題一旦日誌數量過大可能導致excle無法顯示完全,excle一般最多顯示6萬行)
Ø 查看全部字段,且可視化輸出,輸出想要的事件ID
Ø 從上面內容可以看出,想要的字段都在Strings裏面,從這裏面篩選,源地址
LogParser.exe -i:EVT -o:csv "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,19,'|') AS Client_IP,EXTRACT_TOKEN(Strings,20,'|') AS Client_PORT FROM '160.evtx' where eventID=4625" >160-2.csv
可根據數字修改要提取的字段,根據實際情況修改提取表格strings.