无问社区-官网:http://www.wwlib.cn
本期无人投稿,欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦!
无问社区:网安文章沉浸式免费看!
无问AI大模型不懂的问题随意问!
全网网安资源智能搜索只等你来!
01 工具介绍
Logparser是微软的一款日志分析工具,使用方便功能强大。
支持的日志类型:
IISW3C,NCSA,IIS,IISODBC,BIN,IISMSID,HTTPERR,URLSCAN,CSV,TSV,W3C,XML,EVT, ETW,NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS,COM
可输出的文件类型
CSV, TSV, XML, DATAGRID, CHART, SYSLOG,NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL
02 工具演示
查询语法与SQL语句一样,所以较容易上手,这里以windows系统日志为例。
Windows日志ID说明
4624 |
登录失败 |
4625 |
登录成功 |
4768 |
Kerberos身份认证请求(TGT) |
4769 |
Kerberos服务票据请求 |
4776 |
NTLM身份验证 |
4720 |
创建用户 |
4726 |
删除用户 |
4672 |
授予特殊权限 |
查询所有日志字段:
logparser -i:evt -o:DATAGRID "select * from S.evtx"
通常不会这么查询,因为有些信息是用不到的,会影响排查速度所以需要筛选字段来查看。
logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx"
logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx where TimeGenerated>timestamp('2021-12-01','yyyy-MM-dd')"
如果要进一步的过滤,如指定IP或者事件ID,我们可以采用以下方式来查询。
指定IP地址查询:
logparser -i:evt -o:DATAGRID "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='IP地址'"
指定事件ID查询:
logparser -i:evt -o:DATAGRID "select * from S.evtx where eventid=4625"
这里单独说一下EXTRACT_TOKEN()函数,这个函数需要传入三个参数,第一个参数为字段名;第二个参数为分割后的列数,列数从0开始排序;第三列为分隔符。
为了方便操作,我们也可以将查询结果导出到CSV文件中
logparser -i:evt -o:CSV "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='172.16.219.56'" > 5.csv
通过excel表格可以更加灵活的查找与筛选我们所需要的数据。