人妖在线一区,国产日韩欧美一区二区综合在线,国产啪精品视频网站免费,欧美内射深插日本少妇

新聞動態(tài)

windows安全日志分析工具logparser用法詳解

發(fā)布日期:2021-12-13 00:54 | 文章來源:gibhub

logparser使用介紹

首先,讓我們來看一下Logparser架構(gòu)圖,熟悉這張圖,對于我們理解和使用Logparser是大有裨益的

簡而言之就是我們的輸入源(多種格式的日志源)經(jīng)過 SQL語句(有SQL引擎處理)處理后,可以輸出我們想要的格式。

1、輸入源

從這里可以看出它的基本處理邏輯,首先是輸入源是某一種固定的格式,比如EVT(事件),Registry(注冊表)等,對于每一種輸入源,它所涵蓋的字段值是固定的,可以使用logparser –h –i:EVT查出(這里以EVT為例):

這里是一些可選參數(shù),在進(jìn)行查詢的時候,可對查詢結(jié)果進(jìn)行控制,不過我們需要重點(diǎn)關(guān)注的是某一類日志結(jié)構(gòu)里含有的字段值(在SQL查詢中匹配特定的段):

對于每一類字段值的詳細(xì)意義,我們可以參照logparser的自帶文檔的參考部分,這里以EVT(事件)為例:

2、輸出源

輸出可以是多種格式,比如文本(CSV等)或者寫入數(shù)據(jù)庫,形成圖表,根據(jù)自己的需求,形成自定的文件(使用TPL)等,比較自由

基本查詢結(jié)構(gòu)

了解了輸入和輸出源,我們來看一則基本的查詢結(jié)構(gòu)

Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”

這是一則基本的查詢,輸入格式是EVT(事件),輸出格式是DATAGRID(網(wǎng)格),然后是SQL語句,查詢E:\logparser\xx.evtx的所有字段,結(jié)果呈現(xiàn)為網(wǎng)格的形式:

看到這里,想必你已經(jīng)明白了,對于windows的安全日志分析,我們只需要取出關(guān)鍵進(jìn)行判斷或者比對,就可以從龐大的windows安全日志中提取出我們想要的信息。

windows安全日志分析

對于windows安全日志分析,我們可以根據(jù)自己的分析需要,取出自己關(guān)心的值,然后進(jìn)行統(tǒng)計、匹配、比對,以此有效獲取信息,這里通過windows安全日志的EVENT ID迅速取出我們關(guān)心的信息,不同的EVENT ID代表了不同的意義,這些我們可以在網(wǎng)上很容易查到,這里列舉一些我們平常會用到的。

有了這些我們就可以對windows日志進(jìn)行分析了 比如我們分析域控日志的時候,想要查詢賬戶登陸過程中,用戶正確,密碼錯誤的情況,我們需要統(tǒng)計出源IP,時間,用戶名時,我們可以這么寫(當(dāng)然也可以結(jié)合一些統(tǒng)計函數(shù),分組統(tǒng)計等等):

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"

查詢結(jié)果如下:

如果需要對于特定IP進(jìn)行統(tǒng)計,我們可以這么寫(默認(rèn)是NAT輸出):

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'"

或者將查詢保存為sql的格式:

SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS UserName,EXTRACT\_TOKEN(Strings,1,'|') AS Domain ,EXTRACT\_TOKEN(Strings,13,'|') AS SouceIP,EXTRACT\_TOKEN(Strings,14,'|') AS SourcePort FROM 'E:\logparser\xx.evtx' WHERE EXTRACT_TOKEN(Strings,13,'|') ='%ip%'

然后在使用的時候進(jìn)行調(diào)用

logparser.exe file:e:\logparser\ipCheck.sql?ip=x.x.x.x –i:EVT –o:NAT

查詢結(jié)果為:

怎么樣?是不是一目了然呢?根據(jù)特定登陸事件,直接定位到異常IP,異常時間段內(nèi)的連接情況。

同樣我們也可以選擇其他輸出格式,對日志分析和統(tǒng)計。上述所有操作都是在命令行下完成的,對于喜歡圖形界面的朋友,We also have choices!這里我們可以選擇使用LogParser Lizard。 對于GUI環(huán)境的Log Parser Lizard,其特點(diǎn)是比較易于使用,甚至不需要記憶繁瑣的命令,只需要做好設(shè)置,寫好基本的SQL語句,就可以直觀的得到結(jié)果,這里給大家簡單展示一下 首先選取查詢類型

這里我們選擇windows event log,然后輸入剛才的查詢語句: 比

如:

SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'

得到的查詢結(jié)果為(并且這里我們可以有多種查詢格式):

具體其他功能,大家可以去嘗試一下~

總結(jié)

這里簡單和大家介紹了在windows安全日志分析方面logparser的一些使用樣例,logparser的功能很強(qiáng)大,可進(jìn)行多種日志的分析,結(jié)合商業(yè)版的Logparser Lizard,你可以定制出很多漂亮的報表展現(xiàn),圖形統(tǒng)計等,至于其他的功能,留給大家去探索吧~

版權(quán)聲明:本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有,歡迎引用、轉(zhuǎn)載,請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站,禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像,否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來,僅供學(xué)習(xí)參考,不代表本站立場,如有內(nèi)容涉嫌侵權(quán),請聯(lián)系alex-e#qq.com處理。

相關(guān)文章

實時開通

自選配置、實時開通

免備案

全球線路精選!

全天候客戶服務(wù)

7x24全年不間斷在線

專屬顧問服務(wù)

1對1客戶咨詢顧問

在線
客服

在線客服:7*24小時在線

客服
熱線

400-630-3752
7*24小時客服服務(wù)熱線

關(guān)注
微信

關(guān)注官方微信
頂部