Log Parser
Log Parser
(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、
XML 文件、 CSV
(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、
Active Directory
。它可以像使用
SQL 语句 一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
Log Parser 2.2
下载地址:
https://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser
使用示例:
https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/
基本查询结构
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"
使用
Log Parser
分析日志
1
、查询登录成功的事件
登录成功的所有事件LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4624"指定登录时间范围的事件:LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"提取登录成功的用户名和 IP :LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') asEventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') asUsername,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"
2
、查询登录失败的事件
登录失败的所有事件:LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:\Security.evtx where EventID=4625"提取登录失败用户名进行聚合统计:LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') asEventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) asTimes,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUPBY Message"
3
、系统历史开关机记录:
LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtxwhere EventID=6005 or EventID=6006"
LogParser Lizard
对于
GUI
环境的
Log Parser Lizard
,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本
的
SQL
语句,就可以直观的得到结果。
下载地址:
http://www.lizard-labs.com/log_parser_lizard.aspx
依赖包:
Microsoft .NET Framework 4 .5
,下载地址:
https://www.microsoft.com/en-us/download/details.aspx?id
=42642
查询最近用户登录情况:
Event Log Explorer
Event Log Explorer
是一款非常好用的
Windows
日志分析工具。可用于查看,监视和分析跟事件记录,包括安全,系
统,应用程序和其他微软
Windows
的记录被记载的事件,其强大的过滤功能可以快速的过滤出有价值的信息。
下载地址:
https://event-log-explorer.en.softonic.com/
参考链接:
Windows
日志分析
https://mp.weixin.qq.com/s/ige5UO8WTuOOO3yRw-LeqQ