下载安装:

微软官方链接:https://www.microsoft.com/en-us/download/details.aspx?id=24659

直接点击exe安装即可。

1、了解windows系统日志事件ID含义:

依据事件ID,在如下官网链接搜索。

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4634

spacer.gif

 

2、利用可视化进行查看:

Logparser需要结合数据库查询语句一起使用,一般使用两种格式输出日志结果:-o:csv和-o:DATAGRID,均是类似表格形式。

2.1例子1----暴力破解登录windows

Ø  登录成功一般事件ID:4624  登录失败事件ID:4625.。详细见上面。

 

Ø  登录类型:不同登录类似代表不同登录。(一般病毒之类的会用

 

登录类型

解释

2

交互登录。最常见的登录方式

3

网络登录。最常见的是访问网路共享文件夹或打印机。IIS认证也属于Logon Type 3 。

4

计划任务

5

服务。某些服务用一个域账号来运行的,出现Failure常见的情况是管理员跟换了域密码但是忘了更改service的密码。

7

解除屏幕锁定。很多公司或者用户有这样的安全设置:当用户离开一段把时间,屏幕程序会锁定屏幕,解开屏幕输入账号密码就会产生该事件

8

网络明文登录,比如发生在IIS的ASP服务

9

新身份登录通常发生在RunAS方式运行的某程序时的登录验证

10

远程登录 产生事件10

11

为方便笔记本用户,计算机会缓存前十次成功登录的登录

 

spacer.gif

 

Ø  导出日志,利用Logparser输出可视化结果。

查看全部字段:(基本不用,没办法看)

Logparser.exe –i:EVT "SELECT * FROM 日志名称(注意路径问题)”

Ø  查看全部字段,且可视化输出

方法一:Logparser.exe -i:EVT -o:DATAGRID "SELECT * FROM 160.evtx"

spacer.gif

方法二:Logparser.exe -i:EVT -o:csv "SELECT * FROM 160.evtx" > 160.csv   (有个问题一旦日志数量过大可能导致excle无法显示完全,excle一般最多显示6万行)

spacer.gif

Ø  查看全部字段,且可视化输出,输出想要的事件ID

spacer.gif

Ø  从上面内容可以看出,想要的字段都在Strings里面,从这里面筛选,源地址

spacer.gif

 

LogParser.exe -i:EVT  -o:csv "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,5,'|') AS SERVICE_NAME,EXTRACT_TOKEN(Strings,19,'|') AS Client_IP,EXTRACT_TOKEN(Strings,20,'|') AS Client_PORT FROM '160.evtx' where eventID=4625" >160-2.csv

 

可根据数字修改要提取的字段,根据实际情况修改提取表格strings.

spacer.gif