Log parser工具使用

 

Windows日志存放于目录“C:\Windows\System32\winevt\Logs”中,

在目录中可以找到“System”、“Setup”、“Application”、“Security”

分别对应系统日志、安装日志、应用程序日志和安全日志

双击打开,默认在事件查看器中查看

 

 

任务类别	关键字	EventID
登录	审核成功	4624
登录	审核失败	4625
注销	审核成功	4634
特殊登录	审核成功	4672
凭据验证	审核成功	4776

 

 

–o:DATAGRID 可视化输出

EXTRACT_TOKEN(Strings,5,'|') as username Strings字段按照|分段第5个值，把表头重命名为username

使用logparser –h –i:EVT 查出帮助信息

 

查看安全日志的全部字段

Logparser.exe –i:EVT "SELECT * FROM C:\Security.evtx”

 

查看登录审核失败日志的全部字段并可视化输出

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM C:\Security.evtx where EventID=4625"

 

查看登录审核失败日志的登录时间，登录用户，登录IP信息

LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') AS SIP FROM C:\Security.evtx where EventID=4625"