logparser日志分析详解

server/2025/3/18 18:59:28/

无问社区-官网:http://www.wwlib.cn

本期无人投稿,欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦!

无问社区:网安文章沉浸式免费看!

无问AI大模型不懂的问题随意问!

全网网安资源智能搜索只等你来!

01 工具介绍

    Logparser是微软的一款日志分析工具,使用方便功能强大。
支持的日志类型:
IISW3C,NCSA,IIS,IISODBC,BIN,IISMSID,HTTPERR,URLSCAN,CSV,TSV,W3C,XML,EVT, ETW,NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS,COM
可输出的文件类型
CSV, TSV, XML, DATAGRID, CHART, SYSLOG,NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL

02 工具演示

    查询语法与SQL语句一样,所以较容易上手,这里以windows系统日志为例。

图片

Windows日志ID说明

4624

登录失败

4625

登录成功

4768 

Kerberos身份认证请求(TGT)

4769

Kerberos服务票据请求

4776

NTLM身份验证

4720

创建用户

4726

删除用户

4672

授予特殊权限

    查询所有日志字段:

    logparser -i:evt -o:DATAGRID "select * from S.evtx"

    图片

    通常不会这么查询,因为有些信息是用不到的,会影响排查速度所以需要筛选字段来查看。

      logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx"

      图片

        logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx where TimeGenerated>timestamp('2021-12-01','yyyy-MM-dd')"

        图片

        如果要进一步的过滤,如指定IP或者事件ID,我们可以采用以下方式来查询。
        指定IP地址查询:

          logparser -i:evt -o:DATAGRID "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='IP地址'"

          图片

          指定事件ID查询:

            logparser -i:evt -o:DATAGRID "select * from S.evtx where eventid=4625"

            图片

            这里单独说一下EXTRACT_TOKEN()函数,这个函数需要传入三个参数,第一个参数为字段名;第二个参数为分割后的列数,列数从0开始排序;第三列为分隔符。

            为了方便操作,我们也可以将查询结果导出到CSV文件中

              logparser -i:evt -o:CSV "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='172.16.219.56'" > 5.csv

              图片

              通过excel表格可以更加灵活的查找与筛选我们所需要的数据。


              http://www.ppmy.cn/server/176026.html

              相关文章

              VLLM专题(二十六)—使用 Docker

              使用 vLLM 的官方 Docker 镜像 vLLM 提供了一个官方 Docker 镜像用于部署。该镜像可用于运行与 OpenAI 兼容的服务器,并可在 Docker Hub 上获取,名称为 vllm/vllm-openai。 docker run --runtime nvidia --gpus all \-v ~/.cache/huggingface:/root/.cache/huggingface \--…

              Bash中关于制表符\t站位情况说明

              1、首先制表符\t占多少个空格并不是固定不变的。 2、不同系统会以4个或8个空格为基本长度,记为tabL,则实际的缩进长度: length |n - tabL| % tabL 计算机会把制表符/t前的字符串转化成每tabL一组,其中n表示制表符/t最前面一组字符长度。 …

              【Unity网络同步框架 - Nakama研究(二)】

              Unity网络同步框架 - Nakama研究(二) 虽说官方文档和网站以及论坛建立的不错,而且还有中文翻译且质量也不错,但是总会遇到一些词不达意,说了但是依旧没懂的部分,甚至问AI也问不出什么东西,所以需要有一些比较明显的博客…

              Powershell和bcp工具实现带多组参数和标签的SQL Server数据库批量数据导出程序

              设计一个基于多个带标签SQL模板作为配置文件和多组参数的Powershell代码程序和bcp工具,实现根据不同的输入参数,自动批量地将SQL Server数据库的数据导出为CSV文件到指定目录上,标签和多个参数(以“_”分割)为组成导出…

              信创环境下TOP5甘特图工具对比:从功能到适配性测评

              在数字化转型的浪潮中,项目管理的高效与否直接决定了企业能否在激烈的市场竞争中脱颖而出。而甘特图作为项目管理中不可或缺的工具,其重要性不言而喻。尤其是在信创环境日益受到重视的当下,选择一款适配性强、功能完备的甘特图工具&#xff0…

              贪心算法(7)(java) 分发饼干

              题目:假设你是一位很棒的家长,想要给你的孩子们一些小饼干。但是,每个孩子最多只能给一块饼干。 对每个孩子i,都有一个胃口值g[i],这是能让孩子们满足胃口的饼干的最小尺寸;并且每块饼干j,都有一个尺寸 s[j…

              C++:类对象的存储方式

              如何计算类对象的大小 class A { public: void PrintA() { cout<<_a<<endl; } private: char _a; }; 类中既可以有成员变量&#xff0c;又可以有成员函数&#xff0c;那么一个类的对象中包含了什么&#xff1f;如何计算 一个类的大小&#xff1f; 类对象的存储方…

              嵌入式/C++笔试面试指南(前言)

              在数字化转型与智能硬件快速发展的时代&#xff0c;嵌入式系统与 C 语言作为支撑物联网、人工智能、工业控制等领域的核心技术&#xff0c;正面临着前所未有的人才需求。无论是初入职场的应届生&#xff0c;还是寻求技术突破的从业者&#xff0c;掌握嵌入式开发与 C 编程的核心…