SEO外包平台,我们为您提供专业的企业网站SEO整站优化外包服务 SEO设置

SEO外包平台

专注于企业网站SEO整站优化外包服务

Windows日志分析工具

作者:jcmp      发布时间:2021-04-13      浏览量:0
很多时候当机器出现问题了,管理员才会发现

很多时候当机器出现问题了,管理员才会发现服务器或者普通用户的电脑被黑客攻击了。作者因为平时需要远程许多用户,看很多日志, 所以写了一个简单的日志分析工具,希望能帮到一些不怎么懂如何看日志的人。(这个主要想写个不懂技术的人看的,所以写的特别的详细。不要喷,只是为了我自己以后方便。不用每次都给别人讲解很多次,真的太繁琐,不仅浪费时间,用户也很恼火,所以每个步骤都非常详细,觉得不够详细的地方可以留言,后面我再补充。懂技术的可以直接跳着看重点。)。

1、目标:

通过对windows系统日志进行分析,快速定位系统在什么时间被黑客登录过!很多种勒索病毒的,就是因为被黑客拿到了远程桌面密码。

2、正文

3、工具下载

这个工具主要是通过解析logparser查询出来的数据,所以第一步就是去微软官方下载一个logparser日志查看工具。安装就是直接全部下一步就可以了。其中有一个选择模式,两个都可以。随意选。

下载地址: Download Log Parser 2.2 from Official Microsoft Download Center。

下载好后需要将它的路径设置到系统变量中:

4、设置系统变量:

win 7 系统添加环境变量 :因为两个路径之间需要分割开来,所以最后填写进去的是“;C:\Program Files (x86)\Log Parser 2.2”

5、Win 10添加环境变量

6、提取系统日志

方法一:这边提供了一个工具,运行evtx 0x64或者evtx 0x86文件夹下的evtx.exe,记得用管理员权限运行程序。

7、下载地址:

8、提取码:hda2

9、备注:

10、需要运行的程序:

不要单独将evtx.exe复制出来运行!

不要单独将evtx.exe复制出来运行!

不要单独将evtx.exe复制出来运行!

方法二:C:\Windows\System32\winevt\Logs目录下提取出以下文件。

方法三:win+r输入eventvwr ,点开windows日志下面的安全,然后点击右键里面的将事件另存为。导出日志。导出的文件是evtx格式。另外两个日志是存在于应用程序和服务日志文件夹下。Microsoft-Windows-TerminalServices-LocalSessionManager这个为对应路径。Operational.evtx为需要导出的日志。

11、解析日志

12、我提供解析日志工具:

链接: https:// pan.baidu.com/s/1djm7_c MvI8y0lEPtSh84Yg。

13、提取码:evtx

每次提取出来的日志,放到logon下的data里面(之前的日志需要全部删除)。

然后运行bin里面的Run.bat程序即可。

解析出来的效果。这个可以用记事本打开的,安装有office的也可以打开。