应急响应篇_windowsLogparser使用

文章源自【字节脉搏社区】-字节脉搏实验室

作者-m9kj

概述：

Log Parser（微软网站下载）是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。

常见事件ID：

Logparser参数类型说明：

Logon Type 2 Interactive

交互登录。最常见的登录方式

Logon Type 3 – Network

网络登录。最常见的是访问网路共享文件夹或打印机。IIS认证也属于Logon Type 3 。

Logon Type 4 – Batch

计划任务

Logon Type 5 – Service

服务。某些服务用一个域账号来运行的，出现Failure常见的情况是管理员跟换了域密码但是忘了更改service的密码。

Logon Type 7 – Unlock

解除屏幕锁定。很多公司或者用户有这样的安全设置：当用户离开一段把时间，屏幕程序会锁定屏幕，解开屏幕输入账号密码就会产生该事件

Logon Type 8 – NetworkCleartext

网络明文登录，比如发生在IIS的ASP服务

Logon Type 9 – NewCredentials

新身份登录通常发生在RunAS方式运行的某程序时的登录验证

Logon Type 10 – RemoteInteractive

远程登录 产生事件10

Logon Type 11 – CachedInteractive

为方便笔记本用户，计算机会缓存前十次成功登录的登录

下载地址：

https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659

安装成功目录：

使用方式：

首先打开eventvwr.msc将所有事件保存到本地，然后打开logparser，输入指令：LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 日志路径”，然后会看到如下图：

（这是我windows10的数据，差不多10M，一共1W2K条记录，还是挺多的，如果是上百兆就很多了）

其实从eventvwr.msc看不出什么来，结果我们从这里看，看到了好多系统权限的登陆事件，我们需要对这些事件进行排查

另一种命令：

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM '日志路径’ WHERE EventID=4798"

运行结果如下图：