日历：2024.05.14作家：nothing先容：本文先容了windows日记分析器具-LogParser的基础用法。0x00 绪论

前段时刻遭受几次windows的救急反馈，主淌若病毒类事件，且时刻过长，病毒已不再运行探花 七天，无法索要到及时的信息，于是只可从windows日记均分析入侵印迹。

windows日记文献一般比较大，如果东谈主工分析的话，效果太低，且容易忽略细节，那么高效分析windows安全日记，索要出咱们思要的有效信息，就显得尤为缺陷，分析历程中使用到了微软官方出的LogParser器具，底下先容一些基础使用设施。

鬼父在线

图片

0x01 windows日记基础常识1.1 日记位置及基本类型

系统日记

记载系统中硬件、软件和系统问题的信息，用户不错通过它来查验造作发生的原因省略寻找受到袭击时袭击者留住的印迹。

日记的默许位置为：

C:\Windows\System32\winevt\Logs\System.evtx

控制门径日记

记载门径在运行历程中的日记信息。

日记的默许位置为

C:\Windows\System32\winevt\Logs\Application.evtx

安全日记

登录日记、对象探访日记、进度跟踪日记、特权使用、账号解决、战术变更、系统事件。

日记的默许位置为：

C:\Windows\System32\winevt\Logs\Security.evtx

同期在默许旅途下，还包含好多其他的日记，用来记载机器运行技巧一些软件、办事等运行事件。

图片

1.2 常见事件类型

在windows日记中，使用Event ID来暗意发滋事件的类型，任务类别暗意类型摘录，底下是一些常见事件的阐明：

事件ID事件阐明4624登录得胜4625登录失败4634刊出得胜4720创建用户4726删除用户4732用户组属变更1102安全日记断根104其他日记断根

其中登录得胜的Event ID中，还有一个LogonType景色属性，代表了不同的登录类型。

登录类型描摹阐明2交互式登录（Interactive）用户在土产货进行登录。3集合（Network）最常见的情况即是结合到分享文献夹或分享打印机时。4批处理（Batch）络续标明某筹划任务启动。5办事（Service）每种办事齐被树立在某个特定的用户账号下运行。7解锁（Unlock）屏保解锁。8集合明文（NetworkCleartext）登录的密码在集合上是通过明文传输的，如FTP。9新证据（NewCredentials）使用带/Netonly参数的RUNAS敕令运行一个门径。10汉典交互，（RemoteInteractive）通过终局办事、汉典桌面或汉典协助探访酌量机。11缓存交互（CachedInteractive）以一个域用户登录而又莫得域甘休器可用

对于更多的Event ID的阐明，在微软官网上有相干的府上，贯穿如下：

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor

1.3 如何观察

一般来讲，使用系统自带的事件解决器即可观察日记，掀开事件解决器一般有两种方式：

1、运行>windows解决器具>事件观察器

图片

2、win r掀开运行窗口，输入eventvwr.msc即可掀开

掀开以后是如下界面：

图片

日记的数目相对较多，不错使用自带的筛选功能，对思要观察的Event ID进行筛选。

举例思要观察下登录得胜的事件，输入ID 4624即可观察。

图片

图片

登录类型为5，就标明该次登录为办事门径进行的登录认证，无谓户交互，一般来讲是比较安全的。

0x02 LogParser

如上头的案例，用windwos自带的事件观察器进行筛选时，无法精确地筛选出具体登录类型的事件，这时就需要突出的扶持器具来对日记进行筛选扶持分析。

2.1 安设

Log Parser（是微软公司出品的日记分析器具，它功能繁密，使用简单，不错分析基于文本的日记文献、XML文献、CSV（逗号分隔符）文献，以及操作系统的事件日记、注册表、文献系统、Active Directory。它不错像使用SQL语句通常查询分析这些数据，以致不错把分析结尾以各式图表的样貌展现出来。

下载地址：

https://www.microsoft.com/en-us/download/details.aspx?id=24659

安设完成后的旅途如下：

C:\Program Files (x86)\Log Parser 2.2

将该旅途添加到环境变量中。

图片

添加完成后掀开powershell，输入LogParser.exe，输出如下结尾，诠释添加得胜。

图片

2.2 基础用法及常用语句

LogParser基本的查询语句如下：

LogParser.exe –i:EVT –o:DATAGRID 'SELECT * FROM c:\xx.evtx'

LogParser的上风在于，不错采选SQL语句的样貌对日记本色进行精确分割查询，比较于自带的事件观察器使用XML形态的语句进行精确查询来说，学习难度更低，速率也相对更快，也可同期查询多个log。

以下是在救急反馈历程中常用的积累查询语句。

2.2.1 登录

登录失败

在Security日记中Event ID为4625代表身份考据失败，类型3代表从集合登录。但Logon Type 3并不一定是RDP登录失败日记，可能是分享资源或打印机之类的集合登录，而且一些该类型的日记并不可获取到源IP。

LogParser -i:EVT -o:DATAGRID 'SELECT TimeGenerated AS 登录时刻    ， EXTRACT_TOKEN(Strings， 5， '|') AS 用户名    ， EXTRACT_TOKEN(Strings， 13， '|') AS 酌量机名    ， EXTRACT_TOKEN(Strings， 10， '|') AS 登录类型    ， EXTRACT_TOKEN(Strings， 19， '|') AS 源IP    ， EXTRACT_TOKEN(Strings， 17， '|') AS 苦求进度ID    ， EXTRACT_TOKEN(Strings， 18， '|') AS 苦求进度名FROM SecurityWHERE eventid = 4625    AND 登录类型 LIKE '3'    OR 登录类型 LIKE '10''

图片

登录得胜

在Security日记中Event ID为4624，类型为10 或 7，其中7代表会话重连（锁屏景色下从头登录）。

LogParser -i:EVT -o:DATAGRID 'SELECT TimeGenerated AS 登录时刻 ， EXTRACT_TOKEN(Strings， 5， '|') AS 用户名 ， EXTRACT_TOKEN(Strings， 11， '|') AS 酌量机名 ， EXTRACT_TOKEN(Strings， 8， '|') AS 登录类型 ， EXTRACT_TOKEN(Strings， 18， '|') AS 登录源IP ， EXTRACT_TOKEN(Strings， 16， '|') AS 苦求进度ID ， EXTRACT_TOKEN(Strings， 17， '|') AS 苦求进度名FROM SecurityWHERE eventid = 4624 AND 用户名 NOT LIKE '%$' AND 登录类型 LIKE '3' OR 登录类型 LIKE '10''

图片

2.2.2 powershell履行>>  履行门径

日记文献名：Microsoft-Windows-PowerShell%4Operational.evtx

留心：针对门径的操作日记，无法凯旋查询，需要将文献复制到别处，修更称号后进行查询。

LogParser.exe -i:evt -o:DATAGRID 'SELECT TimeGenerated AS 时刻， ComputerName AS 酌量机名， Sid    ， EXTRACT_TOKEN(Strings， 2， '|') AS 敕令行， EXTRACT_TOKEN(Strings， -1， '|') AS pathFROM your.evtxWHERE eventid = 4104'

图片

其中，敕令行部分为履行的具体敕令，path为履行的文献旅途，若凯旋在敕令行中履行，则无文献旅途。

需要留心的是，由于切割部分使用的是管谈符'|'，履行的代码中也可能存在此秀丽，是以可能会出现敕令行部分复制出来的代码不无缺的情况，在此情况下，若思取得无缺的powershell履行代码，修改语句为：

LogParser.exe -i:evt -o:DATAGRID 'SELECT TimeGenerated AS 时刻， ComputerName AS 酌量机名， Sid ， StringsFROM your.evtxWHERE eventid = 4104'

自行从Strings中索要第三部分的代码即可。

2.2.3 用户相干>>  用户创建

LogParser.exe -i:EVT -o:datagrid '   select TimeGenerated  as 创建时刻   ，extract_token(Strings，0，'|') as 被创建用户名   ，extract_token(Strings，4，'|') as 创建者   from Security where eventid=4720'

图片

>>  用户删除LogParser.exe -i:EVT -o:datagrid ' select TimeGenerated as 删除时刻 ，extract_token(Strings，0，'|') as 被删除用户名 ，extract_token(Strings，4，'|') as 删除者 from Security where eventid=4726'

图片

0x03 纪念

本文仅仅简单先容了一些用法，网上还有好多东谈主在救急反馈历程中纪念提真金不怕火出来的语句。在着实救急反馈中，矜重地使用一些器具，不错进步救急效果，更快更准确地定位问题，才智更好地发现系统防卫中的薄瑕玷。

参考贯穿：https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/第1篇：Window日志分析.htmlhttps://zgao.top/LogParser解析windows系统日志常用sql合集/探花 七天

本站仅提供存储办事，悉数本色均由用户发布，如发现存害或侵权本色，请点击举报。