Log parser工具使用

 

Windows日志存放于目录“C:\Windows\System32\winevt\Logs”中,

在目录中可以找到“System”、“Setup”、“Application”、“Security”

分别对应系统日志、安装日志、应用程序日志和安全日志

双击打开,默认在事件查看器中查看

 

 

任务类别

关键字

EventID

登录

审核成功

4624

登录

审核失败

4625

注销

审核成功

4634

特殊登录

审核成功

4672

凭据验证

审核成功

4776

 

 

–o:DATAGRID 可视化输出

EXTRACT_TOKEN(Strings,5,'|') as username Strings字段按照|分段第5个值,把表头重命名为username

使用logparser –h –i:EVT 查出帮助信息

 

查看安全日志的全部字段

Logparser.exe –i:EVT "SELECT * FROM C:\Security.evtx”

 

查看登录审核失败日志的全部字段并可视化输出

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM C:\Security.evtx where EventID=4625"

 

查看登录审核失败日志的登录时间,登录用户,登录IP信息

LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') AS SIP FROM C:\Security.evtx where EventID=4625"

 

posted @ 2019-11-28 14:23  时光不改  阅读(...)  评论(...编辑  收藏