精华内容
下载资源
问答
  • windows事件日志的导出
    2020-09-02 12:26:45
    windows系统日志事件

    windows系统日志事件

    The Windows Event Logs are a tremendous resource as they can not only help you troubleshoot current system issues, but can also provide you with warning signs of potential future problems. So keeping on top of the events your system records can be key to keeping your system running as it should. Unfortunately, sifting through the Event Logs or creating custom views can be a cumbersome manual process.

    Windows事件日志是一个巨大的资源,因为它们不仅可以帮助您解决当前系统问题,还可以为您提供潜在的未来问题的警告信号。 因此,掌握事件的最重要信息是保持系统正常运行的关键。 不幸的是,浏览事件日志或创建自定义视图可能是一个繁琐的手动过程。

    Thankfully, we have a solution which will easily allow you to export and filter Windows Event Log entries and then have them emailed and/or saved to a text file. When this process is configured as part of a scheduled task you can have, for example, warning and error messages emailed to you automatically.

    值得庆幸的是,我们有一个解决方案,可以轻松地让您导出和过滤Windows事件日志条目,然后将它们通过电子邮件发送和/或保存到文本文件中。 当此过程配置为计划任务的一部分时,您可以将例如警告和错误消息自动通过电子邮件发送给您。

    这个怎么运作 (How It Works)

    Our solution works by using a freeware utility, MyEventViewer, by Nirsoft which allows you to easily export Windows Event Logs to a comma separated file. Based on this output, we have developed an easy to configure batch script which filters these results and then can email and/or save the filtered results file. Because the results are a comma separated file, it can be opened in Excel (or your favorite CSV program) and further sorted and filtered.

    我们的解决方案通过使用Nirsoft的免费软件实用程序MyEventViewer来工作,该实用程序使您可以轻松地将Windows事件日志导出到逗号分隔的文件中。 基于此输出,我们开发了易于配置的批处理脚本,该脚本可过滤这些结果,然后可以通过电子邮件发送和/或保存过滤后的结果文件。 由于结果是逗号分隔的文件,因此可以在Excel(或您喜欢的CSV程序)中将其打开,然后进行进一步的排序和过滤。

    组态 (Configuration)

    The configuration settings and options are documented as inline comments in the script, however we will cover a few of them in a bit of detail here.

    配置设置和选项在脚本中以内联注释的形式记录在文档中,但是我们将在此处详细介绍其中的一些。

    Event Log Name

    事件日志名称

    When specifying the Event Logs you want to capture the events from, you must use the system full name of the log. This is not necessarily what you see in the Event Viewer list of logs.

    指定要从中捕获事件的事件日志时,必须使用日志的系统全名。 这不一定是您在“事件查看器”日志列表中看到的内容。

    For example, if you wanted to capture events from the “Microsoft Office Alerts” log, go to the Properties dialog of the log.

    例如,如果您想从“ Microsoft Office Alerts”日志中捕获事件,请转到日志的“属性”对话框。

    image

    Note the value in the Full Name value, in this case “OAlerts”. This would be the value you would need to enter into the script’s configuration.

    注意全名值中的值,在这种情况下为“ OAlerts”。 这将是您需要输入脚本配置的值。

    image

    Event Types

    活动类型

    The values for the Event Types is simply the text you see in the “Level” column when you are viewing Event Logs. Typically these are either Information, Warning or Error but various logs may have different values.

    事件类型的值只是您在查看事件日志时在“级别”列中看到的文本。 通常,这些信息是“信息”,“警告”或“错误”,但是各种日志可能具有不同的值。

    image

    Scheduled Task Setup

    计划任务设置

    The typical usage of this script is most likely in an automated process. So to make sure there is no overlap between your capture interval and when the process runs, you should set up a Windows Scheduled Task to complement the capture time.

    该脚本的典型用法很可能是在自动化过程中进行的。 因此,为确保捕获间隔与进程运行时没有重叠,应设置Windows计划任务以补充捕获时间。

    Quite simply, if your configuration is set to capture events for the last day, you should have a scheduled task that runs once per day. If your configuration is set to capture for the last hour, your scheduled task should be set to run once every hour. Etc.

    很简单,如果您的配置设置为捕获最后一天的事件,则您应该有一个计划的任务,该任务每天运行一次。 如果您的配置设置为捕获最后一个小时,则您的计划任务应设置为每小时运行一次。 等等。

    As an additional note, in order to make sure the MyEventViewer application can get to the information it needs, the respective scheduled task should be run with administrator rights on the machine.

    作为附加说明,为了确保MyEventViewer应用程序可以获取所需的信息,应在计算机上以管理员权限运行相应的计划任务。

    image

    例子 (Examples)

    This configuration would email Errors and Warnings from the System and Application Event Logs recorded in the past day (24 hours) to my@email.com as well as save the output to the C:\EventNotices folder:

    此配置会将过去一天(24小时)内记录的系统和应用程序事件日志中的错误和警告通过电子邮件发送到my@email.com,并将输出保存到C:\ EventNotices文件夹:

    • EmailResults=1

      EmailResults = 1
    • EmailTo=my@email.com

      EmailTo=my@email.com
    • SaveResults=1

      SaveResults = 1
    • SaveTo=C:\EventNotices

      SaveTo = C:\ EventNotices
    • TimeInterval=3

      TimeInterval = 3
    • TimeValue=1

      TimeValue = 1
    • Logs=System,Application

      日志=系统,应用程序
    • Types=Error,Warning

      类型=错误,警告
    • Scheduled Task should run every day.

      计划任务应该每天运行。

    This configuration would only email Errors from the System Event Log recorded in the past hour to my@email.com:

    此配置仅将过去一个小时记录的系统事件日志中的错误通过电子邮件发送到my@email.com:

    • EmailResults=1

      EmailResults = 1
    • EmailTo=my@email.com

      EmailTo=my@email.com
    • SaveResults=0

      SaveResults = 0
    • TimeInterval=2

      TimeInterval = 2
    • TimeValue=1

      TimeValue = 1
    • Logs=System

      日志=系统
    • Types=Error

      类型=错误
    • Scheduled Task should run every hour.

      计划任务应每小时运行一次。

    This configuration would only save Errors and Warnings from the Application Event Log in the past week to the desktop of user JFaulkner (Windows 7) C:\Users\jfaulkner\Desktop:

    此配置仅将过去一周中来自应用程序事件日志的错误和警告保存到用户JFaulkner(Windows 7)C:\ Users \ jfaulkner \ Desktop的桌面上:

      • EmailResults=0

        EmailResults = 0
      • SaveResults=1

        SaveResults = 1
      • SaveTo=C:\Users\jfaulkner\Desktop

        SaveTo = C:\ Users \ jfaulkner \ Desktop
      • TimeInterval=3

        TimeInterval = 3
      • TimeValue=7

        TimeValue = 7
      • Logs=Application

        日志=应用程序
      • Types=Error,Warning

        类型=错误,警告
      • Scheduled Task should run every week.

        计划任务应每周运行。

    Download Event Log Notifier Script from How-To Geek

    从How-To Geek下载事件日志通知程序脚本

    Download MyEventViewer from Nirsoft

    从Nirsoft下载MyEventViewer

    Download Blat from Sourceforge

    从Sourceforge下载Blat

    翻译自: https://www.howtogeek.com/69551/how-to-create-your-own-windows-event-log-notification-system/

    windows系统日志事件

    更多相关内容
  • (转)日志对于操作系统来说其重要性时不言而喻的,一个优秀的nt网络的管理员,往往会定期的备份系统日志,以备查询服务器运行状况及系统安全状况。 如果利用系统日志的“另存为”功能手工备份,则比较麻烦,而且输出...
  • 系统日志导出.zip

    2020-02-26 10:41:01
    需要导出windows日志的朋友,不必再费劲吧啦的一通操作,才能导出系统日志了。可以通过脚本,执行以下就都出来了,干净利索。(脚本支持导出当前时间回溯一天的日志)
  • 主要介绍了Windows下MySQL日志基本的查看以及导入导出用法教程,需要的朋友可以参考下
  • audit_web,查询日志的WEB如何使用转储日志dumplog由autoit3编写,需要编译为EXE(有时编译出来的exe会被360误报为病毒), dumplog运行后会在当前目录下生成一个Eventlog.db文件,该文件为将Windows日志将出的...
  • windows日志总结

    千次阅读 2022-06-09 18:22:27
    运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。...Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的

    本文首发于奇安信攻防社区:https://forum.butian.net/share/355

    windows日志总结

    开启审核策略

    运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。

    我们可以挨个手动修改审核策略的属性,将审核操作选上成功和失败。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vht5WMqp-1654770131990)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422110029.png)]

    当然有简单方法:将下面脚本另存为bat,然后管理员运行就可以打开全部策略了。

    echo [version] >1.inf 
    echo signature="$CHICAGO$" >>1.inf 
    echo [Event Audit] >>1.inf 
    echo AuditSystemEvents=3 >>1.inf 
    echo AuditObjectAccess=3 >>1.inf 
    echo AuditPrivilegeUse=3 >>1.inf 
    echo AuditPolicyChange=3 >>1.inf 
    echo AuditAccountManage=3 >>1.inf 
    echo AuditProcessTracking=3 >>1.inf 
    echo AuditDSAccess=3 >>1.inf 
    echo AuditAccountLogon=3 >>1.inf 
    echo AuditLogonEvents=3 >>1.inf 
    secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet 
    del 1.*
    pause
    

    在这里插入图片描述

    Windows系统日志

    Windows系统日志简介

    Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。处理应急事件时,客户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。

    Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急响应工程师可以根据日志取证,了解计算机上上发生的具体行为。

    Windows系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows系统日志。运行 eventvwr 可以快速打开事件查看器。使用该工具可以看到系统日志被分为了两大类:Windows日志和应用程序和服务日志。

    系统内置的三个核心日志文件(System,Security和Application)默认大小均为20480KB(20MB),记录事件数据超过20MB时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB,超过最大限制也优先覆盖过期的日志记录。

    windows日志类型

    系统日志

    系统日志包含 Windows 系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。

    默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx

    应用程序日志

    应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。

    默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx

    安全日志

    安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则对系统的登录尝试将记录在安全日志中。

    默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

    应用程序及服务日志

    Microsoft

    Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。

    默认位置:%SystemRoot%\System32\Winevt\Logs目录下Microsoft-Windows开头的文件名

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-okrISuUM-1654770131990)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422111853.png)]

    Microsoft Office Alerts

    微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。

    默认位置:%SystemRoot%\System32\Winevt\Logs\OAerts.evtx

    Windows PowerShell

    Windows自带的PowerShell应用的日志信息。

    默认位置:%SystemRoot%\System32\Winevt\Logs\Windows PowerShell.evtx

    Internet Explorer

    IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。

    默认位置:%SystemRoot%\System32\Winevt\Logs\Internet Explorer.evtx

    windows事件类型/级别

    Windows事件日志中共有五种事件类型,所有的事件必须拥有五种事件类型中的一种,且只可以有一种。五种事件类型分为:

    1. 信息(Information):信息事件指应用程序、驱动程序或服务的成功操作的事件。

    2. 警告(Warning):警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。

    3. 错误(Error):错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

    4. 成功审核(Success audit):成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“ 成功审核”事件。

    5. 失败审核(Failure audit):失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

    Windows事件属性

    Windows事件日志属性如下:

    属性名描述
    事件ID标识特定事件类型的编号。描述的第一行通常包含事件类型的名称。例如,6005 是在启动事件日志服务时所发生事件的 ID。此类事件的描述的第一行是“事件日志服务已启动”。产品支持代表可以使用事件 ID 和来源来解决系统问题。
    来源记录事件的软件,可以是程序名(如“SQL Server”),也可以是系统或大型程序的组件(如驱动程序名)。例如,“Elnkii”表示 EtherLink II 驱动程序。
    级别事件严重性的分类,以下事件严重性级别可能出现在系统和应用程序日志中: **信息:**指明应用程序或组件发生了更改,如操作成功完成、已创建了资源,或已启动了服务。 **警告:**指明出现的问题可能会影响服务器或导致更严重的问题(如果未采取措施)。 **错误:**指明出现了问题,这可能会影响触发事件的应用程序或组件外部的功能。 **关键:**指明出现了故障,导致触发事件的应用程序或组件可能无法自动恢复。以下事件严重性级别可能出现在安全日志中: **审核成功 :**指明用户权限练习成功。 **审核失败:**指明用户权限练习失败。在事件查看器的正常列表视图中,这些分类都由符号表示。
    用户事件发生所代表的用户的名称。如果事件实际上是由服务器进程所引起的,则此名称为客户端 ID;如果没有发生模仿的情况,则为主 ID。如果适用,安全日志项同时包含主 ID 和模仿 ID。当服务器允许一个进程采用另一个进程的安全属性时就会发生模拟的情况
    操作代码包含标识活动或应用程序引起事件时正在执行的活动中的点的数字值。例如,初始化或关闭
    日志已记录事件的日志的名称
    任务类别用于表示事件发行者的子组件或活动。
    关键字可用于筛选或搜索事件的一组类别或标记。示例包括“网络”、“安全”或“未找到资源”
    计算机发生事件的计算机的名称。该计算机名称通常为本地计算机的名称,但是它可能是已转发事件的计算机的名称,或者可能是名称更改之前的本地计算机的名称
    日期和时间记录事件的日期和时间

    重点讲述事件ID值,Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作:

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor

    https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

    常用的事件id

    事件ID说明
    1102清理审计日志
    4624账号登录成功
    4625账号登录失败
    4634账号注销成功
    4647用户启动的注销
    4672使用超级用户(如管理员)进行登录
    4720创建用户
    4726删除用户
    4732将成员添加到启用安全的本地组中
    4733将成员从启用安全的本地组中移除
    4688创建新进程
    4689结束进程

    每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:

    登录类型描述说明
    2交互式登录(Interactive)用户在本地进行登录。
    3网络(Network)最常见的情况就是连接到共享文件夹或共享打印机时。
    4批处理(Batch)通常表明某计划任务启动。
    5服务(Service)每种服务都被配置在某个特定的用户账号下运行。
    7解锁(Unlock)屏保解锁。
    8网络明文(NetworkCleartext)登录的密码在网络上是通过明文传输的,如FTP。
    9新凭证(NewCredentials)使用带/Netonly参数的RUNAS命令运行一个程序。
    10远程交互,(RemoteInteractive)通过终端服务、远程桌面或远程协助访问计算机。
    11缓存交互(CachedInteractive)以一个域用户登录而又没有域控制器可用

    事件分析工具和命令

    Get-WinEvent
    powershell管理员执行
    列出安全日志 Get-WinEvent -FilterHashtable @{logname="Security";}
    列出系统日志 Get-WinEvent -FilterHashtable @{logname="System";}
    列出应用程序日志 Get-WinEvent -FilterHashtable @{logname="Application";}
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kJfRn60U-1654770131990)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422133932.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MMfZl8xk-1654770131991)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422134142.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AZLZnrof-1654770131991)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422134242.png)]

    wevtutil

    wevtutil 命令参数如下

    命令意义注释
    elenum-logs列出日志名称
    glget-log获取日志配置信息
    slset-log修改日志配置
    epenum-publishers列出事件发布者
    gpget-publisher获取发布者配置信息
    iminstall-manifest从清单中安装事件发布者和日志
    umuninstall-manifest从清单中卸载事件发布者和日志
    qequery-events从日志或日志文件中查询事件
    gliget-log-info获取日志状态信息
    eplexport-log导出日志
    alarchive-log存档导出的日志
    clclear-log清除日志

    导出 安全 日志的命令为:

    wevtutil epl security d:\security.evtx
    该命令将安全日志信息导出到d盘下的security.evtx文件
    

    查询 安全 日志的命令为:

    wevtutil qe Security /f:text /rd:true > c:\1.txt    导出为文本
    wevtutil qe Security /f:xml /rd:true > c:\1.xml     导出为xml格式
    wevtutil qe Application /c:3 /rd:true /f:text       以文本格式显示应用程序日志中三个最近的事件
    
    /f:<Format> 指定输出应为 XML 格式或文本格式。 如果 <Format> 为 xml,则输出以 xml 格式显示。 如果 <Format> 是文本,则显示不带 XML 标记的输出。 默认值为 Text。
    /rd:<Direction> 指定读取事件的方向。 <Direction> 可以为 true 或 false。 如果为 true,则首先返回最新的事件。
    /c<Count>	设置要读取的最大事件数。
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y2uyS3uj-1654770131991)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422135321.png)]

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dmKSdwpe-1654770131992)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422135550.png)]

    更多可以参考wevtutil微软官方文档说明:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/wevtutil

    logparser(需下载安装)

    logparser工具下载地址 https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659

    查询 系统日志 事件id为4688的事件 按事件倒序:
    LogParser.exe  -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')  as UserName,EXTRACT_TOKEN(Strings,5,'|')  as ProcessName FROM Security where EventID=4688 ORDER BY TimeGenerated desc"
    其中FROM Security 中的Security可以换成System和Application或 导出的日志、备份日志,例c:\11.evtx;事件id可以替换成其他id;当然也可以select *来查询所有列。
    EXTRACT_TOKEN(Strings,5,'|')表示将String列按'|'隔开取第5个。类似编程语言中的split函数。
    
    查询系统日志,所有列,事件倒序
    LogParser.exe  -i:EVT "SELECT * FROM System  ORDER BY TimeGenerated desc"
    
    -o:csv 将日志另存为csv格式,其他常用格式tsv(文本格式)、xml
    
    LogParser.exe  -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')  as UserName,EXTRACT_TOKEN(Strings,5,'|')  as ProcessName FROM Security ORDER BY TimeGenerated desc" -o:tsv > c:\1.txt
    

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EWBEXfKL-1654770131992)(https://cdn.jsdelivr.net/gh/MrWQ/vulnerability-test-img/img/20210422142206.png)]

    在这里插入图片描述

    在这里插入图片描述

    日志清除(管理员权限)

    清除日志之后会留下清除日志的审核事件。

    手动删除:

    开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志

    meterperter自带清除日志功能:

    清除windows中的应用程序日志、系统日志、安全日志 clearev     
    查看事件日志:  run event_manager -i
    清理事件日志: run event_manager -c
    

    wevtutil:

    wevtutil el             列出系统中所有日志名称
    wevtutil cl system      清理系统日志
    wevtutil cl application 清理应用程序日志
    wevtutil cl security    清理安全日志
    

    在这里插入图片描述

    Clear-Eventlog(powershell)

    Clear-Eventlog -Log Application, System,Security
    

    在这里插入图片描述

    清除应用程序和服务日志

    FOR /F "delims=" %I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%I")
    

    前面所有命令都只是清除了windows日志,没有清除应用程序和服务日志,这个命令可以清除。

    在这里插入图片描述

    清除应用程序和服务日志:

    在这里插入图片描述

    在这里插入图片描述

    清除recent:

    recent是windows下用户打开的文档历史文件记录 。

    在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮
    或直接打开C:\Users\用户名\Recent并删除所有内容
    或在命令行中输入del /f /s /q %userprofile%\Recent*.*
    

    清除之前:

    在这里插入图片描述

    清除之后:

    在这里插入图片描述

    参考连接(站在巨人的肩膀上登高望远):

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l–events-to-monitor

    https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

    https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/wevtutil

    https://www.freebuf.com/vuls/175560.html

    https://mp.weixin.qq.com/s/sah3GAVlOALP4hx7vk8eJA

    https://mp.weixin.qq.com/s/pzQxkl3Ngbapuso75LgnLQ

    https://blog.csdn.net/Z_Z_W_/article/details/104406072

    https://blog.csdn.net/Captain_RB/article/details/109573106

    展开全文
  • 服务器操作系统日志导出

    千次阅读 2021-08-14 01:29:36
    服务器操作系统日志导出 内容精选换一换简要介绍Rsyslog是一个集中日志管理工具,基于流行的服务端/客户端模式,通过TCP或者UDP传输协议来发送日志信息,或者从网络设备、服务器、路由器、交换机、以及其它系统或...

    服务器操作系统日志导出 内容精选

    换一换

    c8a5a5028d2cabfeeee0907ef5119e7e.png

    简要介绍Rsyslog是一个集中日志管理工具,基于流行的服务端/客户端模式,通过TCP或者UDP传输协议来发送日志信息,或者从网络设备、服务器、路由器、交换机、以及其它系统或嵌入式设备中接收生成的日志。语言:C一句话概述:集中日志管理工具云服务器要求本文以云服务器KC1实例测试,云服务器配置如表1所示。操作系统要求操作系统要求如表2所示。

    客户端IP指的是访问者(用户设备)的IP地址。在Web应用开发中,通常需要获取客户端真实的IP地址。例如,投票系统为了防止刷票,需要通过获取客户端真实IP地址,限制每个客户端IP地址只能投票一次。当您的网站已接入Web应用防火墙(Web Application Firewall,简称WAF)进行安全防护时,可直接通过WAF获取客户端的真实

    服务器操作系统日志导出 相关内容

    使用IEF时,您的边缘节点时间需要与UTC标准时间保持一致,否则会导致边缘节点的监控数据、日志上传出现偏差。您可以选择合适的NTP服务器进行时间同步,从而保持时间一致。边缘节点上需要安装Network Time Protocol daemon(ntpd)。例如在CentOS上可以执行yum install -y ntp命令安装ntpd。v

    云服务器新增磁盘,开机自动执行磁盘初始化脚本后,Oralce、MySQL和SQL Server等数据库系统日志Msg 823错误 。磁盘初始化脚本WinVMDataDiskAutoInitialize.ps1执行过程中会调用diskpart启用virtual disk服务,执行完毕后会退出diskpart,停用virtual disk服务

    服务器操作系统日志导出 更多内容

    631651361fa2e5698f6a9d681fb5668c.png

    运维人员登录云堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统日志。系统日志包括系统登录日志和系统操作日志两部分。已获取系统登录日志或系统操作日志模块管理权限。若未勾选日志,默认导出全量历史登录日志。若未勾选日志,默认导出全量历史操作日志。

    f3b054c7f0f3a487e0ff47ff2b7b5851.png

    安装完操作系统后的临时云服务器还需要进行相关配置,并安装云平台提供的Guest OS driver,才能保证后续创建的云服务器正常使用。Guest OS driver包括VMTools驱动和PV driver,在前面步骤中已为云服务器安装VMTools驱动,因此本节只需要安装PV driver即可。该任务指导用户完成Windows云服务器

    118fcc6f8f8a59b8317188ff10d93c94.png

    安装完操作系统后的临时云服务器需要进行相关配置,并安装原生的XEN和KVM驱动,才能保证后续创建的云服务器正常使用。该任务指导用户完成Linux云服务器的相关配置与驱动安装,从而创建为Linux系统盘镜像。配置云服务器。具体操作请参考“Linux外部镜像文件在导出前未完成初始化配置,怎么办?”中的“步骤4:配置云服务器”。配置网络检查云服

    402994aa3acda5ebf01ee1c6ade658d0.png

    AOM支持多个操作系统,在购买主机时您需选择AOM支持的操作系统,详见表1,否则无法使用AOM对主机进行监控。对于Linux x86_64服务器,AOM支持上表中所有的操作系统及版本。对于Linux ARM服务器,CentOS操作系统仅支持7.4 及其以上版本,上表所列的其他操作系统对应版本均支持。在使用AOM时,您需注意以下使用限制,详

    eb51cd3fd20e03ccff8238b899621069.png

    在使用LTS时,您需注意以下使用限制。使用限制中部分内容属于配额,关于什么是配额以及怎样查看与修改配额,详见关于配额。LTS日志采集支持多个操作系统,在购买主机时您需选择LTS支持的操作系统,否则无法使用LTS对主机日志进行采集。对于Linux x86_64服务器,LTS支持上表中所有的操作系统及版本。对于Linux ARM服务器,Cen

    293f5c3a9815ee95e4ed79a7f04b8f18.png

    在数据库在运行过程中,会涉及到锁的访问、磁盘IO操作、无效消息的处理,这些操作都可能是数据库的性能瓶颈,通过GaussDB(DWS)提供的性能统计方法,可以方便定位性能问题。参数说明:对每条查询,以下4个选项控制在服务器日志里记录相应模块的性能统计数据,具体含义如下:log_parser_stats控制在服务器日志里记录解析器的性能统计数

    399bb9e39ad395cd7fb119c5287fddf8.png

    根据本地历史数据备份策略,集群的审计日志需要转储到第三方服务器上。如果转储服务器满足配置条件,审计日志可以成功转储。审计日志转储失败,系统产生此告警。如果第三方服务器的转储目录磁盘空间不足,或者用户修改了转储服务器的用户名、密码或转储目录,将会导致审计日志转储失败。系统本地最多只能保存50个转储文件,如果该故障持续存在于转储服务器,本地审

    f3b8b8d84706868f201fb0c4780edbab.png

    AOM支持多个操作系统,在购买主机时您需选择AOM支持的操作系统,详见表1,否则无法使用AOM对主机进行监控。对于Linux x86_64服务器,AOM支持上表中所有的操作系统及版本。对于Linux ARM服务器,CentOS操作系统仅支持7.4 及其以上版本,上表所列的其他操作系统对应版本均支持。在使用AOM时,您需注意以下使用限制,详

    c98716077afa118c4722d3df701d5c06.png

    在Log窗口的System Log页签里,您可以查看系统运行日志,操作步骤如下:Mind Studio不支持通过界面方式删除设备上的system log日志。如需对日志进行管理,请使用root或Mind Studio安装用户登录Mind Studio所在服务器操作系统后对/var/dlog目录下日志进行管理操作;如果Mind Studio

    d57a9c4df2ad6d5977a2dea882116132.png

    AOM支持虚机(这里的虚机指操作系统为Linux的弹性云服务器或裸金属服务器)日志采集,即采集您自定义的日志文件并展现在AOM界面中,以供您检索。使用该功能前首先要配置日志采集路径,详情请参考配置日志采集路径,。

    9bf196c9a2e0b7b0bc69748c838418a5.png

    华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。

    展开全文
  • windows日志审计

    千次阅读 2022-05-17 16:05:12
    分析windows日志,查看rdp、ipc等各种登录验证情况时主要分析的内容之一,下面图标中的内容是windows 日志中登录类型以及事件ID的代表含义代表的含义。 登录类型中较为重要的是网络、网络明文、以及远程交互三种类型...

    简介

    运行 eventvwr 命令,打开事件查看器,查windows 日志,分析windows 日志时,主要是查看安全日志,分析是否存通过暴力破解、横向传递等安全事件,定位恶意IP地址、事件发生时间等。

    在这里插入图片描述

    在这里插入图片描述

    Windows日志

    分析windows日志,查看rdp、ipc等各种登录验证情况时主要分析的内容之一,下面图标中的内容是windows 日志中登录类型以及事件ID的代表含义代表的含义。

    登录类型中较为重要的是网络、网络明文、以及远程交互三种类型,网络最常见的情况就是连接到共享文件夹(IPC)或共享打印机,网络明文的话有ftp,telent等,远程交互就是通过终端服务、远程桌面或远程协助访问计算机。。

    在这里插入图片描述

    常见日志审计中事件ID 代表的含义

    在这里插入图片描述

    系统日志分析

    直接在系统上分析,使用时间查看器中的筛选,对日志进行筛选,审计,直接在面板中输入筛选的条件即可,但是感觉不是太好用,通过xml的筛选也有点玩不来。

    在这里插入图片描述

    在这里插入图片描述

    使用工具

    WinLogView

    可以使用WinLogView工具,会列出系统中所有曾经登陆过的主机,包含本地登陆和远程登陆,针对原有的用户需要注意用户的登陆时间段是否在工作时间段内。快速定位恶意IP地址

    在这里插入图片描述

    FullEventLogView

    使用FullEventLogView加载主机日志,还能进行筛选,还算比较好用.

    在这里插入图片描述

    Log Parser 使用

    Log Parser是微软公司出品的日志分析工具,用来分析Windows日志相当合适

    使用这个工具前,首先将windows的日志导出保存
    在这里插入图片描述

    然后通过SQL语法进行查询就好了

    基础查询格式

    Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM E:\logparser\xx.evtx"
    

    这是一则基本的查询,输入格式是EVT(事件),输出格式是DATAGRID(网格),然后是SQL语句,查询E:\logparser\xx.evtx的所有字段,结果呈现为网格的形式;

    下面是较为常用的查询语句,结合常用事件ID以及登录类型等,基本可以应付windows日志的查看,

    登录成功的所有事件
    LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4624"
    
    指定登录时间范围的事件
    LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
    
    提取登录成功的用户名和IP
    LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"
    
    
    登录失败的所有事件
    LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:\Security.evtx where EventID=4625"
    
    提取登录失败用户名进行聚合统计
    LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"
    
    查询开关机记录
    LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"
    

    参考

    https://blog.csdn.net/weixin_41073877/article/details/112917207
    https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html

    展开全文
  • windows中把系统日志导出到文本

    千次阅读 2019-09-28 23:20:23
  • 怎么导出服务器日志

    2021-08-08 08:56:49
    怎么导出服务器日志 内容精选换一换msnpureport工具部署在Host侧,该工具有以下用途:导出Device侧的slog日志、syslog日志、黑匣子和Stackcore文件。导出日志和文件将存储到运行msnpureport工具的路径下以时间戳...
  • 应急响应基础(三)——Windows日志分析

    千次阅读 多人点赞 2019-11-23 20:57:59
    Windows日志分析 一、Windows事件日志简介 1、Windows事件日志 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到...
  • 使用dumpel定期导出windows系统日志

    千次阅读 2010-12-02 16:29:32
      1、windows系统日志的存储: windows的系统日志存储... 使用dumpel.exe可以导出windows的系统日志。 dumpel.exe可以去微软官网下载,地址:http://support.microsoft.com/kb/927229。 下载后的dumpel...
  • 可以通过“事件查看器”来查看这些信息,通过执行命令“eventvwr.msc /s”打开该工具,先可通过在控制面板上打开管理工具,双击“事件查看器”打开,打开后,点击windows日志下的“应用程序”即可查看相关系统记录的...
  • 闲聊Windows系统日志

    千次阅读 2021-03-18 08:29:14
    title: "闲聊Windows系统日志"date: 2021-02-22T18:59:49+08:00draft: truetags: ['windows']author: "dadigang"author_cn: "大地缸"personal: "http://www.real007.cn"闲聊Windows系统日志2018-07-302018-07-30 17:...
  • binlog日志导出

    2019-12-13 17:59:07
    二进制日志,记录对数据发生或潜在发生更改的SQL语句(除了数据查询语句),并以二进制的形式保存在磁盘中。 1.作用: 复制(Master-Slave 主从同步)、恢复和审计。 2.binlog日志的三种模式 STATEMENT、ROW、MIXED ...
  • 输出内容包括:本地rdp端口、mstsc缓存、cmdkey缓存、登录成功、失败日志事件。 运行前需要bypassUAC后的管理员权限权限 说明 由于代码比较简单,已经编译了.Net 3.5版本的可执行文件,需要的可以直接到下载,下面...
  • 服务器日志怎么导出

    2021-08-08 08:57:07
    服务器日志怎么导出 内容精选换一换RedisShake是一款开源的Redis迁移工具,支持Cluster集群的在线迁移与离线迁移(备份文件导入),但是部署在其他云厂商Redis服务上的Cluster集群数据,由于SYNC、PSYNC命令被云厂商...
  • 命令行参数每月-这会将ExportToMySQL在/ data文件夹中找到的所有每月日志导出到MySQL服务器dayfile-这会将您的dayfile.txt发送到您MySQL服务器数据/ -这会将单个命名的每月日志文件导入到您MySQL服务器Windows示例:...
  • 审核2、添加,主体选择Authenticacted Users或者Everyone,勾选如下权限,然后确定3、打开事件查看器,定位到Windows日志->安全,可以看到已经有日志过来了,这里主要有用的事件id是4663和4659:安装nxlog采集...
  • Kali渗透测试:Windows事件管理工具wevtutil使用方法 ...您还可以使用此命令安装和卸载事件清单、运行查询以及导出、存档和清除日志。 1. 语法(Syntax) wevtutil [{el | enum-logs}] [{gl | get-l
  • 您好,请知:使用Nxlog将Windows日志以syslog形式发送至日志Syslog服务器nxlog下载地址:https://download.csdn.net/download/c1052981766/10299741下载之后进行安装;查看服务:修改配置文件:C:\Program Files (x86)\...
  • 1:什么是ADB?...Windows版本:https://dl.google.com/android/repository/platform-tools-latest-windows.zip Mac版本:https://dl.google.com/android/repository/platform-tools-latest-windows.zip L
  • 前几天总工问我有没有好用的施工日志软件推荐,就在52和百度找了很久。...施工日志自动排版,支持一键导出打印。 【软件不足】: 只能按天导出和打印,不能批量打印。(现已支持批量导出、批量打印)
  • Sysmon 事件格式Sysmon 在 Windows 事件日志查看器中创建事件日志条目,但从列表视图中看不到详细信息。 可以在单个事件详细信息中看到详细信息,但很难过滤 Sysmon 数据的详细信息。用法这些查询允许使用 log...
  • windows服务器审计日志存放位置

    千次阅读 2021-08-08 01:03:58
    windows服务器审计日志存放位置 内容精选换一换Manager的审计日志默认保存在数据库中,如果长期保留可能引起数据目录的磁盘空间不足问题,管理员如果需要将审计日志保存到其他归档服务器,可以在FusionInsight ...
  • 我们经常在SVN提交代码并标记change log,一旦我们需要某个系统的变更日志记录,我们就可以轻松从SVN上查询,但是复制出来的日志是不规则的文本数据,下面将教大家如何将SVN的日志转成我们想要的excel格式。...
  • 查看/导出 MySQL 日志的方法

    千次阅读 2021-03-14 18:03:32
    首先确认开启日志功能(ON为启用):mysql> show variables like 'log_bin';+---------------+-------+| Variable_name | Value |+---------------+-------+| log_bin | ON |+---------------+-------+1 row in set...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 46,543
精华内容 18,617
热门标签
关键字:

windows事件日志的导出