精华内容
下载资源
问答
  • (转)日志对于操作系统来说其重要性时不言而喻的,一个优秀的nt网络的管理员,往往会定期的备份系统日志,以备查询服务器运行状况及系统安全状况。 如果利用系统日志的“另存为”功能手工备份,则比较麻烦,而且输出...
  • windows中把系统日志导出到文本

    千次阅读 2019-09-28 23:20:23
  • 可以通过“事件查看器”来查看这些信息,通过执行命令“eventvwr.msc /s”打开该工具,先可通过在控制面板上打开管理工具,双击“事件查看器”打开,打开后,点击windows日志下的“应用程序”即可查看相关系统记录的...

    默认情况下,Windows系统会记录加载程序运行情况。可以通过“事件查看器”来查看这些信息,通过执行命令“eventvwr.msc /s”打开该工具,先可通过在控制面板上打开管理工具,双击“事件查看器”打开,打开后,点击windows日志下的“应用程序”即可查看相关系统记录的应用程序执行情况。

    对应64位操作系统,可通过右键“应用程序”选择“筛选当前日志”来打开“筛选当前日志”对话框

    默认情况下 “筛选当前日志”对话框得记录时间为“任何时间”,我们可以根据需要选择"自定义范围.." 打开“自定义范围”对话框

    展开全文
  • 主要介绍了Windows下MySQL日志基本的查看以及导入导出用法教程,需要的朋友可以参考下
  • 日志导出

    2019-08-04 01:10:48
    NULL 博文链接:https://bicashy.iteye.com/blog/2009791
  • windows系统日志自动备份工具加文档
  • powershell命令adb logcat > d:\log1将完整日志导出到文件 从设备插入到当前的日志都会导出.ctrl+c停止. 不会输出到屏幕,直接去看文件 有问题留言评论

    powershell命令adb logcat > d:\log1将完整日志导出到文件

    从设备插入到当前的日志都会导出.ctrl+c停止.
    不会输出到屏幕,直接去看文件

    有问题留言评论

    展开全文
  • 系统日志导出.zip

    2020-02-26 10:41:01
    需要导出windows日志的朋友,不必再费劲吧啦的一通操作,才能导出系统日志了。可以通过脚本,执行以下就都出来了,干净利索。(脚本支持导出当前时间回溯一天的日志)
  • Windows下使用的tail工具,LINUX下可以用tail工具实时查看日志变化。这个工具可以在Windows下使用。
  • adb脚本,android批处理,用于批量处理android相关操作,用于批量自动化处理。用于批量测试,用于批量群控基础
  • Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...

    Windows日志分析

    一、Windows事件日志简介

    1、Windows事件日志

    Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

    Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

    系统日志

    Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。

    日志的默认位置为:C:\Windows\System32\winevt\Logs\System.evtx

    应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    日志的默认位置为:C:\Windows\System32\winevt\Logs\Application.evtx

    安全日志

    主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

    日志的默认位置为:C:\Windows\System32\winevt\Logs\Security.evtx

    系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

    2、查看系统日志

    1> "开始"菜单上,依次指向“所有程序”“管理工具”然后单击“事件查看器”;

    2> win+R,输入eventvwr.msc,直接进入事件查看器;

    3、审核策略

    系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

    二、事件日志分析

    1、事件类型

    Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

    Windows事件日志共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型。

    信息(Information)

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告(Warning)

    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误(Error)

    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

    成功审核(Success audit)

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件

    失败审核(Failure audit)

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    2、登录类型

    每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:

    登录类型描述说明
    2交互式登录(Interactive)用户在本地进行登录。
    3网络(Network)最常见的情况就是连接到共享文件夹或共享打印机时。
    4批处理(Batch)通常表明某计划任务启动。
    5服务(Service)每种服务都被配置在某个特定的用户账号下运行。
    7解锁(Unlock)屏保解锁。
    8网络明文(NetworkCleartext)登录的密码在网络上是通过明文传输的,如FTP。
    9新凭证(NewCredentials)使用带/Netonly参数的RUNAS命令运行一个程序。
    10远程交互,(RemoteInteractive)通过终端服务、远程桌面或远程协助访问计算机。
    11缓存交互(CachedInteractive)以一个域用户登录而又没有域控制器可用

    登录类型2:交互式登录(Interactive): 就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。

    登录类型3:网络(Network) 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。

    登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。 

    登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。 

    登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。

    登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。

     登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。

    登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。 

    登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。 

    3、常见的日志分析

    事件ID说明
    4624登录成功
    4625登录失败
    4634注销成功
    4647用户启动的注销
    4648试图使用显式凭据登录。
    4672使用超级用户(如管理员)进行登录
    4720

    创建用户

    4774帐户已登录映射。
    4775无法映射的登录帐户。
    4776计算机试图验证的帐户凭据。
    4777域控制器无法验证帐户的凭据
    4778到窗口站重新连接会话。
    4779从窗口站,会话已断开连接。
    6005表示计算机日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005,就说明这天正常启动了windows系统。
    6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID为6006的事件,就表示计算机在这天没关机或没有正常关机

    更多的事件ID描述可参考:https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

    4、事件日志查看器

    筛选日志是分析事件日志最常用的功能,我们可以根据事件ID、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。

    三、日志分析工具

    1、logparser

    Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。

    Log Parser 2.2下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

    基本查询结构

    Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”

    这是一则基本的查询,输入格式是EVT(事件),输出格式是DATAGRID(网格),然后是SQL语句,查询E:\logparser\xx.evtx的所有字段,结果呈现为网格的形式;

    可以看出,对于windows的安全日志分析,我们只需要取出关键进行判断或者比对,就可以从庞大的windows安全日志中提取出我们想要的信息。

    查询登录的事件

    登录成功的所有事件

    LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM E:\event.evtx where EventID=4624"

    登录失败的所有事件

    LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM E:\event.evtx where EventID=4625"

    指定登录时间范围的事件

    LogParser.exe -i:EVT -o:DATAGRID  "SELECT *  FROM e:\event.evtx where TimeGenerated>'2019-06-19 23:32:11' and TimeGenerated<'2019-11-20 23:34:00' and EventID=4624"

    我们也可以将日志导出文Excel可以打开的格式,这样就可以使用Excel对导出来的日志进行分析,不用去记许多的命令。

    将日志导出为CSV格式并进行分析

    LogParser.exe -i:EVT -o:CSV "SELECT * FROM E:\event.evtx where EventID=4624" > E:\event.csv

    2、LogParser Lizard

     对于GUI环境的Log Parser Lizard,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本的SQL语句,就可以直观的得到结果,这里给大家简单展示一下 首先选取查询类型

    下载地址:http://www.lizard-labs.com/log_parser_lizard.aspx

    依赖包:Microsoft .NET Framework 4 .5,下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=42642

    这里我们选择windows event log,然后输入如下的查询语句:select * from Security where EventID=4624

    查询结果如下:

    参考链接:

    https://github.com/Bypass007/Emergency-Response-Notes/blob/master/%E7%AC%AC%E4%BA%8C%E7%AB%A0%EF%BC%9A%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.md

    https://my.oschina.net/secisland/blog/754854

    展开全文
  • windows系统日志备份脚本

    热门讨论 2011-03-30 13:58:30
    用来将系统日志剪切至其他位置保存,可以在每天产生大量日志的服务器上应用,因为windows本身的日志是有上限的,好像是几百兆吧,用这个备份就不怕日志满了
  • DiscordChatExporter可用于将消息历史记录从通道导出到文件。 它适用于直接消息,组消息和服务器通道,并支持Discord的降价方言以及所有其他富媒体功能。 :question_mark: 如果您有任何疑问或问题,请查看 。 ...
  • MySQL导出binlog日志

    2020-08-06 13:43:38
    查看MySQL Server上的二进制日志: mysql> show binary logs; 将binlog文件导出为sql文件: /usr/local/src/mysql-5.7.10/client/mysqlbinlog --no-defaults --base64-output=decode-rows -v --start-datetime=...
  • AD server的安全日志增长很快,于是写了段vbs脚本做备份strComputer = "."targetLogs="security" '可用值为 application,system,securityBackupDest...
  • windows日志删除工具

    千次阅读 2018-12-29 21:24:39
    这个利器当然就是传说中的psloglist.exe工具了,在cmd下输入 psloglist.exe \acceptelua可以防止弹出...psloglist.exe -g security backup.evt 导出登录日志 psloglist.exe -c -g security backup.evt 导出并删除...
  • 用户不仅可以把容器提交到公共服务器上,还可以将容器导出到本地文件系统中。同样,我们也可以将导出的容器重新导入到Docker环境中去。 如果要导出本地某个容器,可以使用 Docker export 命令,可以使用 docker ...
  • Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。 0x02 查看日志 传统的查看Windows安全日志方法是...
  • 使用dumpel定期导出windows系统日志

    千次阅读 2010-12-02 16:29:32
      1、windows系统日志的存储: windows的系统日志存储... 使用dumpel.exe可以导出windows的系统日志。 dumpel.exe可以去微软官网下载,地址:http://support.microsoft.com/kb/927229。 下载后的dumpel...
  • 闲聊Windows系统日志

    千次阅读 2018-12-29 21:24:10
    * 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止...不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着头脑,所以就认真的分析了e...
  • Ø 等待日志读取完成,全选或者选中相应App名称对应的Crash日志,右键选择Export Logs导出: 2. 使用Windows + iTools 以iTools4.0为例 Ø 将手机用数据线连接到电脑上; Ø 打开iTools,连接设备...
  • 导出dns解析记录If you run a Windows Server which takes advantage of the built in DNS Server, you have a nice graphical interface for viewing and managing your DNS records. However, the vast majority ...
  • git日志导出为csv格式文件、excel格式文件 进入项目的git base界面; 输入: git log --date=iso --pretty=format:'"%h","%an","%ad","%s"' >log.csv 输出字段( %号参数 )可自定义,详见: ...
  • 该实用程序可将Cumulus MX月度日志和日文件日志导出到MySQL数据库。 该实用程序必须从您的Cumulus MX根文件夹(保存您的CumulusMX.exe文件的文件夹)中运行。 它将从Cumulus.ini文件中读取各种参数,例如MySQL服务器...
  • 初次接触influx db,使用可能不是很正确,记录一下导出过程 看到官方文档; 报错: 改为如下命令: D:\anzhuang\influxdb-1.7.7-1>influx_inspect export -datadir "C:/Users/m/.influxd b/data" -waldir "C:/...
  • 导出一周的系统日志

    2013-02-19 16:46:01
    控制台的导出一周的系统日志,打开就行,自动保存到程序目录。
  • DUMPEL,DUMPEL.EXE 可以解释事件日志十六进制数据当事件日志条目引用的更多信息的十六进制数据时,请尝试使用转储事件日志 (包含在 Windows NT 3.5 Resource Kit 中)。 在很多的情况下转储事件日志 (DUMPEL.EXE) ...
  • 日志导出的学习使用,我们是在 kettle基本使用 03-kettle命令行运行方式之 Kitchen运行 基础上去做,详细地址见 https://blog.csdn.net/u014636209/article/details/82453291 2.日志导出 导出到E:\logs目录中的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 40,895
精华内容 16,358
关键字:

windows日志怎么导出