Windows日志存放于目录“C:WindowsSystem32winevtLogs”中,
在目录中可以找到“System”、“Setup”、“Application”、“Security”
分别对应系统日志、安装日志、应用程序日志和安全日志
双击打开,默认在事件查看器中查看
|
任务类别 |
关键字 |
EventID |
|
登录 |
审核成功 |
4624 |
|
登录 |
审核失败 |
4625 |
|
注销 |
审核成功 |
4634 |
|
特殊登录 |
审核成功 |
4672 |
|
凭据验证 |
审核成功 |
4776 |
–o:DATAGRID 可视化输出
EXTRACT_TOKEN(Strings,5,'|') as username Strings字段按照|分段第5个值,把表头重命名为username
使用logparser –h –i:EVT 查出帮助信息
查看安全日志的全部字段
Logparser.exe –i:EVT "SELECT * FROM C:Security.evtx”
查看登录审核失败日志的全部字段并可视化输出
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM C:Security.evtx where EventID=4625"
查看登录审核失败日志的登录时间,登录用户,登录IP信息
LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') AS SIP FROM C:Security.evtx where EventID=4625"