Windows日志分析工具Log Parser使用指南

大家好，我是你们的老朋友全栈君。我们又见面了！

今天，我们将探讨Windows事件日志分析工具LogParser的使用指南。让我们一起来学习如何利用LogParser来分析Windows事件日志，了解不同事件ID的含义以及常见的使用场景。

0x01 基本设置 事件ID及常见场景

在进行Windows事件日志分析时，不同的事件ID有着不同的意义。以下是一些常见的安全事件及其说明：

• 4624 - 登录成功
• 4625 - 登录失败
• 4634 - 注销成功
• 4647 - 用户启动的注销
• 4672 - 使用超级用户（如管理员）进行登录
• 1074 - 通过此事件ID查看计算机的开机、关机、重启的时间以及原因和注释
• 6005 - 表示计算机日志服务已启动，若出现此事件ID，则表示当天系统正常启动
• 104 - 记录所有审计日志清除事件，当有日志被清除时出现此事件ID
• 4624 - 表示成功登陆的用户，用来筛选系统的用户登陆成功情况
• 4625 - 表示登陆失败的用户
• 4720, 4722, 4723, 4724, 4725, 4726, 4738, 4740 - 当用户账号发生创建、删除、改变密码时的事件记录
• 4727, 4737, 4739, 4762 - 当用户组发生添加、删除或组内添加成员时生成的事件

示例：

1. 管理员登录

   当使用mstsc远程登录某个主机，并且使用的是管理员账号时，成功的情况下会产生ID为4776、4648、4624、4672的事件。

   

2. 执行系统命令

   通过Win+R打开运行窗口，输入“CMD”，然后运行“ipconfig”，产生的日志过程如下：

   • 进程创建 C:\Windows\System32\cmd.exe
   • 进程创建 C:\Windows\System32\ipconfig.exe
   • 进程终止 C:\Windows\System32\ipconfig.exe

   

3. 入侵提权过程中的日志

   在入侵提权过程中，常使用以下两条语句，这些语句会生成如下日志：

   net user USER PASSWORD /add
   net localgroup administrators USER /add

   

0x02 日志分析工具

2.1 Log Parser 2.2 下载地址

Log Parser的下载地址为：https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser允许通过SQL查询日志。

2.1.1 SQL字段

• S：String 数组

  调用格式：

  EXTRACT_TOKEN(EventTypeName, 0, ' ')

  • EventTypeName：字段名
  • 0：顺序，从0开始
  • ' '：分隔符

• T：Time。时间类

• I：integer。整数类

  T和I二者都是直接调用：

  SELECT TO_DATE(TimeGenerated), TO_UPPERCASE(EXTRACT_TOKEN(EventTypeName, 0, ' ')), SourceName FROM SystemTimeGenerated

2.1.2 字段解释

• RecordNumber：日志记录编号，从0开始

• TimeGenerated：事件生成时间

• TimeWritten：事件记录时间

• EventID：事件ID

  

• EventType：事件类型

  参考：Windows Logon Type的含义

  

• EventCategory：未知，参考Windows API ReportEvent 写系统日志

• String：

  各个位置含义：

  0安全IP（SID） 1账号名称 2账户域 3登录ID 4安全ID 5账户名 6账户域 7登录ID 8登录类型 9登录进程 10身份验证数据包 11网络账户名称 12账号GUID 13网络账户域 14数据包名 15密钥长度 16进程ID 17进程路径 18源网络地址 19源端口 20模拟级别 21 22 23 24 虚拟账户 25 26 提升的令牌

• EventLog：

  各个位置含义：

  0 文件绝对路径

• EventTypeName：

  各个位置含义：

  0 审核成功/审核失败

• SourceName：来源

  各个位置含义：

  0：来源位置eg：Microsoft-Windows-Security-Auditing

• SID：查看结果为全空

  

• Message：消息

  各个位置含义：

  0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote compute

• Data：全空

• ComputerName：计算机名称

  0 WIN-L5ST0VQ25FA 计算机名称

• EventCategoryName：

  0 The name for category 12544 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer

主要字段为：

• TimeGenerated：事件生成时间
• EventID：事件ID
• EventType：事件类型
• String：
• EventLog
• ComputerName：计算机名称

2.1.3 命令组成

基本格式：

logparser -i:输入文件格式 [-输入文件参数] -o:输出文件格式 [-输出格式参数] "SQL 查询语句"

示例：

LogParser.exe -i:EVT "SELECT EventID as EventID,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') as ip FROM C:\Users\172.16.5.30\sec.evtx where EventID=4625"

• EventID：该值为System节点下的EventID

• TimeGenerated：该值类似于EventID，表示时间

  

• EXTRACT_TOKEN(Strings,5,'|')：该值为EventData部分的第六部分的值，为TargetUserName的值

  

2.1.1 常用命令

1. 管理员登录时间和登录用户名（登陆成功）

   LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Strings,1,'|') as username,EXTRACT_TOKEN(Strings,5,'|') as username1,EXTRACT_TOKEN(Strings,19,'|') as ip,EventID,TimeGenerated FROM C:\sec.evtx where EventID = 4625"

   

2. 查看（登陆失败）的记录

   LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username FROM c:.evtx where EventID=4625"

3. RDP爆破使用的用户名及爆破次数

   待续...

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/196073.html

原文链接：https://javaforall.cn