Windows日志存放於目錄“C:\Windows\System32\winevt\Logs”中,
在目錄中可以找到“System”、“Setup”、“Application”、“Security”
分別對應系統日志、安裝日志、應用程序日志和安全日志
雙擊打開,默認在事件查看器中查看
| 任務類別 |
關鍵字 |
EventID |
| 登錄 |
審核成功 |
4624 |
| 登錄 |
審核失敗 |
4625 |
| 注銷 |
審核成功 |
4634 |
| 特殊登錄 |
審核成功 |
4672 |
| 憑據驗證 |
審核成功 |
4776 |
–o:DATAGRID 可視化輸出
EXTRACT_TOKEN(Strings,5,'|') as username Strings字段按照|分段第5個值,把表頭重命名為username
使用logparser –h –i:EVT 查出幫助信息
查看安全日志的全部字段
Logparser.exe –i:EVT "SELECT * FROM C:\Security.evtx”
查看登錄審核失敗日志的全部字段並可視化輸出
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM C:\Security.evtx where EventID=4625"
查看登錄審核失敗日志的登錄時間,登錄用戶,登錄IP信息
LogParser.exe -i:EVT "SELECT TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as username,EXTRACT_TOKEN(Strings,19,'|') AS SIP FROM C:\Security.evtx where EventID=4625"