前言
很多时候当机器出现问题了,管理员才会发现服务器或者普通用户的电脑被黑客攻击了。作者因为平时需要远程许多用户,看很多日志, 所以写了一个简单的日志分析工具,希望能帮到一些不怎么懂如何看日志的人。(这个主要想写个不懂技术的人看的,所以写的特别的详细。不要喷,只是为了我自己以后方便。不用每次都给别人讲解很多次,真的太繁琐,不仅浪费时间,用户也很恼火,所以每个步骤都非常详细,觉得不够详细的地方可以留言,后面我再补充。懂技术的可以直接跳着看重点。)
目标:
通过对windows系统日志进行分析,快速定位系统在什么时间被黑客登录过!很多种勒索病毒的,就是因为被黑客拿到了远程桌面密码。
正文
工具下载
这个工具主要是通过解析logparser查询出来的数据,所以第一步就是去微软官方下载一个logparser日志查看工具。安装就是直接全部下一步就可以了。其中有一个选择模式,两个都可以。随意选。
下载地址:Download Log Parser 2.2 from Official Microsoft Download Center
https://www.microsoft.com/en-us/download/details.aspx?id=24659下载好后需要将它的路径设置到系统变量中:
设置系统变量:
-
找到你安装logparser的目录,例如我的(若知道如何设置环境变量可直接跳到提取系统日志)
-
添加环境变量
win 7 系统添加环境变量:因为两个路径之间需要分割开来,所以最后填写进去的是“;C:Program Files (x86)Log Parser 2.2”
Win 10添加环境变量
提取系统日志
方法一:这边提供了一个工具,运行evtx0x64或者evtx0x86文件夹下的evtx.exe,记得用管理员权限运行程序。
下载地址:
链接:pan.baidu.com/s/15JZuO0
提取码:hda2
备注:
-
查看系统版本
需要运行的程序:
不要单独将evtx.exe复制出来运行!
不要单独将evtx.exe复制出来运行!
不要单独将evtx.exe复制出来运行!
方法二:C:WindowsSystem32winevtLogs目录下提取出以下文件
-
Security.evtx
-
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
-
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
方法三:win+r输入eventvwr ,点开windows日志下面的安全,然后点击右键里面的将事件另存为。导出日志。导出的文件是evtx格式。另外两个日志是存在于应用程序和服务日志文件夹下。Microsoft-Windows-TerminalServices-LocalSessionManager这个为对应路径。Operational.evtx为需要导出的日志。
解析日志
我提供解析日志工具:
链接:pan.baidu.com/s/1djm7_c
提取码:evtx
每次提取出来的日志,放到logon下的data里面(之前的日志需要全部删除)
然后运行bin里面的Run.bat程序即可。
主要关注以下两个日志即可。
解析出来的效果。这个可以用记事本打开的,安装有office的也可以打开。
原文始发于微信公众号(系统安全运维):Windows日志分析工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论