日志分析三神器 【附下载链接】

admin
admin
admin
101406
文章
87
评论
2023年3月10日18:26:26评论111 views字数 2239阅读7分27秒阅读模式
日志分析三神器 【附下载链接】


一般来说,安全性日志都会有成千上万条,若不能想要分析的时间段,要以人工方式一一查看,那是一件很痛苦的事情。若能采用视觉化图形显示方式进行分析,比如通过excel或者html,再就重点事件排查,才是事半功倍的方法


1

Log Parser



LogParser是微软公司提供的一款日志分析工具,可以对基于文本格式的日志文件、XML文件和CSV文   件,以及Windows操作系统上的事件日志、注册表、文件系统等等进行处理分析,分析结果可以保存在    基于文本的自定义格式中、SQL或者是利用各种图表进行展示。


下载地址:

https://www.microsoft.com/en-us/download/details.aspx?id=24659


使 用 教 程 :https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-exam ples/


安装到C:Program Files (x86)Log Parser 2.2后添加环境变量即可使用


1

工具使用

LogParser –i:输入文件的格式 –o:想要输出的格式 "SQL语句"

我们的输入源(多种格式的日志源)经过 SQL语句(有SQL引擎处理)处理后,可以输出我们想要的格式。


输入源是某一种固定的格式,比如EVT(事件),Registry(注册表)等,对于每一种输入源,它所涵盖的字段值是固定的,可以使用logparser –h –i:EVT查出(这里以EVT为例)

日志分析三神器 【附下载链接】

2

常用查询语句

基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:xx.evtx"

使用Log Parser分析日志登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID  "SELECT * FROM C:Security.evtx where EventID=4624"

指定登录时间范围的事件:

LogParser.exe -i:EVT –o:DATAGRID  "SELECT * FROM C:Security.evtx where TimeGenerated>'2023-02-19 23:32:11' and TimeGenerated<'2023-03-07 23:34:00' and EventID=4624"

提取登录成功的用户名和IP:

LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') asEventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') asUsername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM C:Security.evtx whereEventID=4624"

登录失败的所有事件:

LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM C:Security.evtx whereEventID=4625"

提取登录失败用户名进行聚合统计:

LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') asEventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,'')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM C:Security.evtx whereEventID=4625 GROUP BY Message"

系统历史开关机记录:

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROMC:System.evtx where EventID=6005 or EventID=6006"


2

FullEventLogView



FullEventLogView官方版是一款查看Windows事件日志的工具,包括事件描述,支持查看本地计算机的事件、也可以查看远程计算机的事件,并可以将事件导出为text、csv、tab-delimited、html、xml等类型的文件。


下载地址:https://www.nirsoft.net/utils/full_event_log_view.html


我们可以将所要分析的日志都放入在同一文件夹

日志分析三神器 【附下载链接】

可以自定义从时间、事件ID、事件等级等去筛选日志:

日志分析三神器 【附下载链接】
日志分析三神器 【附下载链接】

还可以通过excel表格和HTML的方式查看日志:

日志分析三神器 【附下载链接】
日志分析三神器 【附下载链接】

优点:具有强大的筛选功能,能够以HTML和EXCEL格式展示数据


缺点:当数据量较大时,生成的excel文件大小会达到几十M;excel表格中的日志时间没有具体的日期,事情描述太过详细,看起来会很费劲


3

windodws-logs-analysis



项目地址:https://github.com/dogadmin/windodws-logs-analysis  


可以快速的进行一些日志分析,使用的时候需要管理员权限:

日志分析三神器 【附下载链接】



长风实验室发布、转载的文章中所涉及的技术、思路和工具,仅供以网络安全为目的的学习交流使用,不得用作它途。部分文章来源于网络,如有侵权请联系删除。

END

 推荐 

 阅读 

日志分析三神器 【附下载链接】
日志分析三神器 【附下载链接】


日志分析三神器 【附下载链接】
日志分析三神器 【附下载链接】

原文始发于微信公众号(长风实验室):日志分析三神器 【附下载链接】

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月10日18:26:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   日志分析三神器 【附下载链接】http://cn-sec.com/archives/1596726.html

发表评论

匿名网友 填写信息