精华内容
下载资源
问答
  • Windows 日志分析

    千次阅读 2017-09-14 20:59:14
    Windows 2000 的日志文件通常包括以下日志,当然以下不完全: 应用程序日志安全日志系统日志DNS服务器日志FTP日志WWW日志 日志文件的默认位置 应用程序日志、安全日志、系统日志、DNS日志默认位置: %...

    使用方式

    开始-程序-管理工具-计算机管理-系统工具-事件查看器。
    然后开始清理日志。

    各项日志说明

    Windows 2000 的日志文件通常包括以下日志,当然以下不完全:

    1. 应用程序日志
    2. 安全日志
    3. 系统日志
    4. DNS服务器日志
    5. FTP日志
    6. WWW日志

    日志文件的默认位置

    应用程序日志、安全日志、系统日志、DNS日志默认位置: %systemroot%system32config,默认文件大小为512KB,管理员一般都会改变这个默认大小。

    安全日志文件:%systemroot%system32configSecEvent.EVT

    系统日志文件:%systemroot%system32configSysEvent.EVT

    应用程序日志文件:%systemroot%system32configAppEvent.EVT

    Internet信息服务FTP日志文件:%systemroot%system32logfilesmsftpsvc1,默认每天一个日志

    Internet信息服务WWW日志文件:%systemroot%system32logfilesw3svc1,默认每天一个日志

    Scheduler服务日志:%systemroot%schedlgu.txt

    以上日志在注册表中的键

    应用程序日志、安全日志、系统日志、DNS服务器日志,他们这些LOG在注册表中的:

    HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

    有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多子表,里面可以查到以上日志的定位目录。

    Schedluler服务日志在注册表中的:

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

    FTP与WWW日志详解

    FTP日志

    FTP与WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可以打开,假设如下所示。

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    
    #Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
    #Version: 1.0 (版本1.0)
    #Date: 20001023 0315 (服务启动时间日期)
    #Fields: time cip csmethod csuristem scstatus
    
    0315 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)
    
    0318 127.0.0.1 [1]PASS -530 (登录失败)
    
    032:04 127.0.0.1 [1]USER nt 331 (ip地址为127.0.0.1用户名为 nt 的用户试图登录)
    
    032:06 127.0.0.1 [1]PASS -530 (登录失败)
    
    032:09 127.0.0.1 [1]USER cyz 331 (ip地址为127.0.0.1用户名为 cyz 的用户试图登录)
    
    0322 127.0.0.1 [1]PASS -530 (登录失败)
    
    0322 127.0.0.1 [1]USER administrator 331 (ip地址为127.0.0.1用户名为 administrator 的用户试图登录)
    
    0324 127.0.0.1 [1]PASS -230 (登录成功)
    
    0321 127.0.0.1 [1]MKD nt 550 (新建目录失败)
    
    0325 127.0.0.1 [1]QUIT -550 (推出FTP)
    

    从日志可以看到IP地址为127.0.0.1的用户一直在试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知攻击者的入侵时间IP地址以及探测的用户名,如上例入侵者最终是使用administrator登录的,那么就要考虑更换此用户的密码,或更改用户名。

    WWW日志

    WWW服务同FTP服务一样,产生的日志也是在%systemroot%system32LogFilesW3SVC1目录下,默认是每天一个日志文件,下面例举一个典型的WWW日志文件。

    1
    2
    3
    4
    5
    6
    7
    8
    
    #Software: Microsoft Internet Infomation Services 5.0 (微软IIS 5.0)
    #Version: 1.0 (版本1.0)
    #Date: 20001023 0315 (服务启动时间日期)
    #Fields: date time cip cusername sip sport csmethod csuriquery scstatus cs(UserAngent)
    
    20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)
    
    20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pageerror.gif 200 Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt)
    

    第一条记录是,2000年10月23日,IP地址为192.168.1.26的客户通过访问192.168.1.37服务器的80端口,查看了一个iisstart.asp的页面,这个用户的浏览器为Mozilla/4.0 (compatible;MSIE 5.0;Windows 98;DigExt),有经验的管理员可以通过安全日志、FTP日志和WWW日志来确定攻击者的IP。

    即使删除了FTP日志和WWW日志,但是还是会在系统日志和安全日志中记录下来,较好的是只显示了你的机器名,并没有IP地址。

    属性里记录了出现警告的原因,是因为有人试图用administrator用户名登录,出现了一个错误,来源是FTP服务。

    这里有两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录注销失败。

    双击第一个失败审核事件,可以获得这个事件的详细描述。

    经过分析我们可以得知有一个名为CYZ的工作站,用administrator的用户名登录本机,但是因为用户名未知或密码错误(实际上是密码错误)未能成功。另外还有DNS服务器日志,这里暂略。

    日志清理

    通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志、WWW日志和Scedlgu日志都可以轻易删除。

    首先要获取Administrator密码或Administrator用户组成员之一,然后Telnet远程连接

    1
    2
    3
    
    del schedlgu.txt
    # 如果无法删除,先停止正在 使用此文件的进程
    net stop  "task scheduler"
    

    分别进入FTP和WWW的目录

    1
    
    del ex*.log
    

    停止系统日志的守护进程

    1
    
    net stop eventlog
    

    其他常见工具

    clearlog.exe

    这里我们介绍一个工具 clearlog.exe
    使用方法:
    Usage: clearlogs [\computername] <-app / -sec / -sys>
    -app = 应用程序日志
    -sec = 安全日志
    -sys = 系统日志
    a. 可以清除远程计算机的日志
    先用ipc连接上去: net use \ipipc$ 密码/user:用户名 然后开始清除: 方法
    clearlogs \ip -app 这个是清除远程计算机的应用程序日志
    clearlogs \ip -sec 这个是清除远程计算机的安全日志
    clearlogs \ip -sys 这个是清除远程计算机的系统日志
    b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面
    然后清除. 方法:
     
    clearlogs -app 这个是清除远程计算机的应用程序日志
    clearlogs -sec 这个是清除远程计算机的安全日志
    clearlogs -sys 这个是清除远程计算机的系统日志

    c.bat

    1
    2
    3
    4
    5
    6
    7
    8
    9
    
    rem ============================== 开始
    @echo off
    clearlogs -app
    clearlogs -sec
    clearlogs -sys
    del clearlogs.exe
    del c.bat
    exit
    rem ============================== 结束
    

    在你的计算机上面测试的时候 可以不要 @echo off 可以显示出来. 你可以看到结果
    第一行表示: 运行时不显示窗口
    第二行表示: 清除应用程序日志
    第三行表示: 清除安全日志
    第四行表示: 清除系统日志
    第五行表示: 删除 clearlogs.exe 这个工具
    第六行表示: 删除 c.bat 这个批处理文件
    第七行表示: 退出

    用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法
    AT 时间 c:c.bat

    cleaniis.exe

    工具:cleaniis.exe

    使用方法:

    1
    2
    3
    
    iisantidote <logfile dir> <ip or string to hide>
    iisantidote <logfile dir><ip or string to hide> stop
    stop opiton will stop iis before clearing the files and restart it after
    

    < logfile dir> exemple : c:winntsystem32logfilesw3svc1 dont forget the
    使用方法解释:
    cleaniis.exe iis日志存放的路径 清除参数
    什么意思呢??我来给大家举个例子吧:
    cleaniis c:winntsystem32logfilesw3svc1 192.168.0.1
    这个表示清除log中所有此IP(192.168.0.1)地址的访问记录. —–推荐使用这种方法
    cleaniis c:winntsystem32logfilesw3svc1 /shop/admin/
    这个表示清除这个目录里面的所以的日志
    c:winntsystem32logfilesw3svc1 代表是iis日志的位置(windows nt/2000) 这个路径可以改变
    c:windowssystem32logfilesw3svc1 代表是iis日志的位置(windows xp/2003) 这个路径可以改变
    这个测试表示 在日志里面没有这个ip地址.
    我们看一下日志的路径 再来看一下
    我们的ip(192.168.0.1)已经没有了.
    已经全部清空. 同样这个也可以建立批处理. 方法同上面的那个

    清除历史记录及运行的日志

    cleaner.exe
    直接运行就可以了

    参考资料

    [1] 日志分析-1
    [2] 日志分析-2
    [3] 日志分析-3 对抗

    展开全文
  • Windows日志分析

    2020-11-18 13:51:12
  • Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...

    Windows日志分析

    一、Windows事件日志简介

    1、Windows事件日志

    Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

    Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。

    系统日志

    Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。

    日志的默认位置为:C:\Windows\System32\winevt\Logs\System.evtx

    应用程序日志

    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

    日志的默认位置为:C:\Windows\System32\winevt\Logs\Application.evtx

    安全日志

    主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

    日志的默认位置为:C:\Windows\System32\winevt\Logs\Security.evtx

    系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。

    2、查看系统日志

    1> "开始"菜单上,依次指向“所有程序”“管理工具”然后单击“事件查看器”;

    2> win+R,输入eventvwr.msc,直接进入事件查看器;

    3、审核策略

    系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

    二、事件日志分析

    1、事件类型

    Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

    Windows事件日志共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型。

    信息(Information)

    信息事件指应用程序、驱动程序或服务的成功操作的事件。

    警告(Warning)

    警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    错误(Error)

    错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

    成功审核(Success audit)

    成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件

    失败审核(Failure audit)

    失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    2、登录类型

    每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:

    登录类型 描述 说明
    2 交互式登录(Interactive) 用户在本地进行登录。
    3 网络(Network) 最常见的情况就是连接到共享文件夹或共享打印机时。
    4 批处理(Batch) 通常表明某计划任务启动。
    5 服务(Service) 每种服务都被配置在某个特定的用户账号下运行。
    7 解锁(Unlock) 屏保解锁。
    8 网络明文(NetworkCleartext) 登录的密码在网络上是通过明文传输的,如FTP。
    9 新凭证(NewCredentials) 使用带/Netonly参数的RUNAS命令运行一个程序。
    10 远程交互,(RemoteInteractive) 通过终端服务、远程桌面或远程协助访问计算机。
    11 缓存交互(CachedInteractive) 以一个域用户登录而又没有域控制器可用

    登录类型2:交互式登录(Interactive): 就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。

    登录类型3:网络(Network) 最常见的是访问网络共享文件夹或打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。

    登录类型4:批处理(Batch) :当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。 

    登录类型5:服务(Service) :与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新。 

    登录类型7:解锁(Unlock) :很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7。

    登录类型8:网络明文(NetworkCleartext) :通常发生在IIS 的 ASP登录。不推荐。

     登录类型9:新凭证(NewCredentials) :通常发生在RunAS方式运行某程序时的登录验证。

    登录类型10:远程交互(RemoteInteractive) :通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。 

    登录类型11:缓存交互(CachedInteractive) :在自己网络之外以域用户登录而无法登录域控制器时使用缓存登录。默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。 

    3、常见的日志分析

    事件ID 说明
    4624 登录成功
    4625 登录失败
    4634 注销成功
    4647 用户启动的注销
    4648 试图使用显式凭据登录。
    4672 使用超级用户(如管理员)进行登录
    4720

    创建用户

    4774 帐户已登录映射。
    4775 无法映射的登录帐户。
    4776 计算机试图验证的帐户凭据。
    4777 域控制器无法验证帐户的凭据
    4778 到窗口站重新连接会话。
    4779 从窗口站,会话已断开连接。
    6005 表示计算机日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005,就说明这天正常启动了windows系统。
    6006 表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID为6006的事件,就表示计算机在这天没关机或没有正常关机

    更多的事件ID描述可参考:https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

    4、事件日志查看器

    筛选日志是分析事件日志最常用的功能,我们可以根据事件ID、事件级别、事件来源、用户、计算机等属性进行搜索和过滤。

    三、日志分析工具

    1、logparser

    Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。

    Log Parser 2.2下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

    基本查询结构

    Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”

    这是一则基本的查询,输入格式是EVT(事件),输出格式是DATAGRID(网格),然后是SQL语句,查询E:\logparser\xx.evtx的所有字段,结果呈现为网格的形式;

    可以看出,对于windows的安全日志分析,我们只需要取出关键进行判断或者比对,就可以从庞大的windows安全日志中提取出我们想要的信息。

    查询登录的事件

    登录成功的所有事件

    LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM E:\event.evtx where EventID=4624"

    登录失败的所有事件

    LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM E:\event.evtx where EventID=4625"

    指定登录时间范围的事件

    LogParser.exe -i:EVT -o:DATAGRID  "SELECT *  FROM e:\event.evtx where TimeGenerated>'2019-06-19 23:32:11' and TimeGenerated<'2019-11-20 23:34:00' and EventID=4624"

    我们也可以将日志导出文Excel可以打开的格式,这样就可以使用Excel对导出来的日志进行分析,不用去记许多的命令。

    将日志导出为CSV格式并进行分析

    LogParser.exe -i:EVT -o:CSV "SELECT * FROM E:\event.evtx where EventID=4624" > E:\event.csv

    2、LogParser Lizard

     对于GUI环境的Log Parser Lizard,其特点是比较易于使用,甚至不需要记忆繁琐的命令,只需要做好设置,写好基本的SQL语句,就可以直观的得到结果,这里给大家简单展示一下 首先选取查询类型

    下载地址:http://www.lizard-labs.com/log_parser_lizard.aspx

    依赖包:Microsoft .NET Framework 4 .5,下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=42642

    这里我们选择windows event log,然后输入如下的查询语句:select * from Security where EventID=4624

    查询结果如下:

    参考链接:

    https://github.com/Bypass007/Emergency-Response-Notes/blob/master/%E7%AC%AC%E4%BA%8C%E7%AB%A0%EF%BC%9A%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.md

    https://my.oschina.net/secisland/blog/754854

    展开全文
  • Windows日志分析ELK环境搭建 .NetCore+NLog+ElasticSearch,+Logstash+Kibana——一个日志收集和检索系统 一、简介 1、ElasticSearch是一个开源分布式搜索服务器。特点:分布式,零配置,自动发现,索引自动分片,...

    Windows日志分析ELK环境搭建
    .NetCore+NLog+ElasticSearch,+Logstash+Kibana——一个日志收集和检索系统

    一、简介
    1、ElasticSearch是一个开源分布式搜索服务器。特点:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,节点数据均等,自动搜索负载等。它提供了一个分布式多用户的全文搜索引擎,基于RESTful web接口。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。
    2、Logstash是一个完全开源的工具,它可以对你的日志进行收集、过滤、分析,支持大量的数据获取方法,并将其存储供以后使用(如搜索)。
    3、Kibana 是一个基于浏览器页面的Elasticsearch前端展示工具,也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。
    在这里插入图片描述
    4、版本信息:Windows10企业版,java(1.8_201),ElasticSearch(5.6.15),Logstash(5.6.15),Kibana(5.6.15),.Net Core2.2,NLog(4.5.11)

    二、首先安装java(在此声明不要采用最新版的java,Logstash不支持已踩坑)
    在这里插入图片描述
    下载完成后双击安装,请看下你的安装路径,我这里安装到C:\Program Files\Java\jdk1.8.0_201
    在这里插入图片描述
    在这里插入图片描述

    配置环境变量

    JAVA_HOME:C:\Program Files\Java\jdk1.8.0_201
    CLASSPATH:.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;(注意.也要)
    PATH:%JAVA_HOME%\bin
    

    在这里插入图片描述
    在这里插入图片描述
    检查版本:java -version
    在这里插入图片描述
    三、安装。elasticsearch
    点击下载elasticsearch 也可以官网下载
    这个是msi文件直接安装即可,如果是你下载的压缩文件请解压后配置环境变量。
    为了方便管理我全部装到D盘同一个文件夹中
    在这里插入图片描述
    建议装成服务
    在这里插入图片描述
    在这里插入图片描述
    不用勾选
    在这里插入图片描述
    在这里插入图片描述successfully
    打开任务管理器查看服务是否已运行
    在这里插入图片描述
    查看效果 http://localhost:9200

    在这里插入图片描述
    四、Kibana
    1、下载kibana 也可以官网下载
    2、安装
    压缩包解压后打开文件夹kibana-5.6.15-windows-x86\config
    在这里插入图片描述
    3、配置
    找到文件kibana.yml
    配置server.host和elasticsearch.url
    在这里插入图片描述
    浏览:http://localhost:5601
    五、Logstash
    1、下载logstash也可以官网下载
    2、安装
    解压文件夹后打开logstash-5.6.15\bin文件夹
    在这里插入图片描述
    安装目录bin下创建文件logstash-simple.conf
    内容input {http{port=>8001}}output {elasticsearch { hosts => [“localhost:9200”] }stdout { codec => rubydebug }}
    浏览:http://localhost:9600

    六、.NetCore+NLog
    1、安装
    创建.netcore项目然后管理NuGet包
    在这里插入图片描述
    2、自动生成了nlog.config配置我们来更改它

    <?xml version="1.0" encoding="utf-8" ?>

    <extensions>
        <!--enable NLog.Web for ASP.NET Core-->
        <add assembly="NLog.Web.AspNetCore"/>
    </extensions>
    
    <!-- define various log targets -->
    <!--定义日志文件目录-->
    <variable name="logDirectory" value="${basedir}/logs/${shortdate}"/>
    <variable name="nodeName" value="node1"/>
    
    <targets async="true">
        <!-- 全部日志target -->
        <target xsi:type="File"
                name="allfile"
                fileName="${logDirectory}/nlog-all/${shortdate}.log"
                layout="#node1#${longdate}#${logger}#${uppercase:${level}}#${callsite}#${callsite-linenumber}#${aspnet-request-url}#${aspnet-request-method}#${aspnet-mvc-controller}#${aspnet-mvc-action}#${message}#${exception:format=ToString}#"
                keepFileOpen="false"
            />
    
        <!-- 本地文件日志target -->
        <target xsi:type="File"
                name="ownLog-file"
                fileName="${logDirectory}/nlog-${level}/${shortdate}.log"
                layout="#${longdate}#${nodeName}#${logger}#${uppercase:${level}}#${callsite}#${callsite-linenumber}#${aspnet-request-url}#${aspnet-request-method}#${aspnet-mvc-controller}#${aspnet-mvc-action}#${message}#${exception:format=ToString}#"
                keepFileOpen="false"
            />
    
        <!-- Tcp日志target -->
        <target xsi:type="Network"
                name="ownLog-tcp"
                keepConnection="false"
                address ="http://localhost:8001"
                layout="${message}"
            />
        <!--grok 规则-->
        <!--%#{DATA:request_time}#%{DATA:node_name}#%{DATA:class_name}#%{DATA:log_level}#%{DATA:call_site}#%{DATA:line_number}#%{DATA:request_url}#%{DATA:request_method}#%{DATA:container_name}#%{DATA:action_name}#%{DATA:log_info}#%{DATA:exception_msg}#-->
        <!--空白-->
        <target xsi:type="Null" name="blackhole" />
    </targets>
    
    <!--日志级别 Trace -》Debug-》 Info -》Warn-》 Error-》 Fatal-->
    <!--日志规则-->
    <rules>
        <!--全部日志, 包括Microsoft日志-->
        <logger name="*" minlevel="Trace" writeTo="allfile" />
    
        <!--自定义日志,排除Microsoft日志-->
        <logger name="Microsoft.*" minlevel="Trace" writeTo="blackhole" final="true" />
        <logger name="*" minlevel="Debug" writeTo="ownLog-file" />
        <logger name="*" minlevel="Info" writeTo="ownLog-tcp" />
    </rules>
    

    3、另外Startup.cs文件也需要配置
    Configure中新增
    #region Nlog
    app.UseStaticFiles();
    //使用NLog作为日志记录工具
    loggerFactory.AddNLog();
    //引入Nlog配置文件
    env.ConfigureNLog(“NLog.config”);
    #endregion

    七、效果图

    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • 本次升级并没有增加新的告警,而是增加了window的日志分析,主要分析了windows的登录日志和操作日志,这两个比较重要的日志类型,其他日志类型可以作为通用的日志收集功能进行存储查询。Windows系统没有自带的功能...
  •  Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet:一个是Get-WinEvent,超级强大,但使用起来比较麻烦;另一个是Get-EventLog,使得起来相当简单,可以实时筛选,接下来,我们利用PowerShell 来自动筛选 ...
  • 前段时间做了一个简易的Windows日志分析工具(主要针对Windows系统日志SysEvent.Evt这个文件),主要是使用了Log Parser 2.2和MSchart控件,在此和大家分享一下! 首先是Log Parser 2.2,关于它的介绍我就不多说了...
  • windows日志分析工具–WebLog Expert

    千次阅读 2019-09-18 08:45:47
    Weblogexpert是一个快速和强大的访问日志分析器。这会让你了解你的网站的访客:活动统计,访问的文件的路径,通过该网站,信息指页面,搜索引擎,浏览器,操作系统,和更多。该计划所产生的易于阅读的报告,包括文本...
  • Windows日志

    千次阅读 多人点赞 2019-05-29 16:29:26
    文章目录一,Windows事件日志简介二,打开事件查看器命令:eventvwr三,Windows事件日志共有五种事件级别四,Windows日志文件五,对常用安全事件的分析1.用户登录与注销2.追踪硬件变动3.追踪WiFi信息六,日志获取和...
  • 五、Windows日志分析 参考 Windows系统日志分析 回到顶部 一、前言 本文将对常见的日志类型,利用微软日志分析工具(LogParser)结合已经掌握的恶意代码分析Windows系统日志,关联出系统的异常。 数据来源于...
  • logparser分析windows日志

    2020-12-11 17:15:52
    文章目录安装logparser简单使用命令行版GUI版本sql教程分析windows登陆日志 安装logparser 命令行版 GUI版 直接搜索引擎下载或上微软官方下载安装 简单使用 命令行版 进入到logparser安装目录的cmd命令行下,执行 ...
  • window 安全日志分析 今日服务器遭受入侵入侵路径回溯被入侵服务器->跳板机->办公网某主机因此整理 记录 windows 被入侵相关信息本文只研究 windows 安全登录相关日志介绍三种事件类 型登录注销尝试登陆通过此日志可...
  • Windows server 2008 R2如何查看应用程序日志 很多情况下。我们都需要查看服务器日志,针对我们这边服务器的实际情况来说,前期规划不是很好,服务器机房就在单位楼层,和平时用电在一起,有没有ups电源,所以发生...
  • 为解决Windows日志的实时获取问题,针对2种日志文件格式,分别提出了相应的日志实时获取方法。在实时获取日志的基础上,提出了将日志文件与原子攻击功能关联的方法,将对日志文件的分析转换成对原子攻击功能的分析,...
  • 运行eventvwr.msc命令,打开windows日志,如下图,将所有事件另存为: 保存完之后是一个.evtx格式的文件,将使用log parser分析这个导出的日志: 分析命令如下: LogParser.exe -i:EVT "SELECT ...
  • 日志分析是应急响应中的重要环节。很多问题通过日志分析就可以直接找到解决方法。 日志分析对象主要是系统日志,web中间件日志,数据库日志,以及其他安全设备收集到的日志。 日志分析 Windows系统日志是记录系统中...
  • windows日志和审核

    千次阅读 2019-12-05 23:43:40
    windows事件日志简介 Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查...
  • windows安全日志分析之logparser篇

    千次阅读 2018-03-08 10:58:34
    封停 · 2015/07/29 10:270x01 前言...此时,高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键,这里给大家推荐一款我常用的windows日志分析工具,logparser,目前版本是2.2。0x02 logparser使用...
  • windows系统安装ELK日志分析系统,主要包括elasticsearch,logstash,kibana,nssm,nxlog
  • Windows日志筛选

    千次阅读 2018-05-22 17:23:09
    Windows日志筛选 因工作需求开启文件系统审核,因Windows日志管理器并不方便筛选查阅,所以使用powershell方法进行筛选。 一、需求分析 存在问题 日志量巨大(每天约1G) 日志管理器查询日志不便 主要目标 ...
  • Windows操作系统的日志分析 Windows日志简介 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志,Windows服务器角色日志,FTP日志,邮件服务日志,MS SQL Server...
  • 学会查看Windows日志

    2021-01-04 14:26:34
    大多数企业都会使用WIndow系统,那么使用过程中就会产生大量日志,学会查看Windows日志,合理的利用日志数据进行分析,是IT管理员的必备技能之一。 正常情况下,Windows日志都是使用eventvwr.msc打开事件管理器去...
  • 提供在windows系统下搭建ELK日志分析平台教程。资源来源于CSDN博客
  • Windows日志研究

    千次阅读 2018-09-07 16:26:58
    Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。...
  • Windows日志浅析

    万次阅读 2012-02-01 17:50:47
    从这篇文章开始本人开始结合Windows产品日志分析大神(RANDY FRANKLINSMITH)的电子书,以及自己的实验对Windows操作系统的日志开始分析。也是对自己的一种激励,至少希望自己能坚持下去这个分析。并且希望自己可以...
  • windows常用日志分析

    2017-05-08 09:11:13
    查找AD中用户帐户锁定时间及锁定的计算机。a.打开安全日志。b.查找eventid 4740,即可查找出被锁定帐户和锁定源。 转载于:https://blog.51cto.com/michael2017/1923011...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 128,248
精华内容 51,299
关键字:

windows日志怎么分析