下载安装

    Logparser是一款非常强大的日志分析软件，可以帮助你详细的分析网站日志。是所有数据分析和网站优化人员都应该会的一个软件。Logparser是微软的一款软件完全免费的，大家可以在微软的官网上去下载，下载地址：https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659

事件日志基础

Logon Type 2 Interactive

交互登录。最常见的登录方式

Logon Type 3 – Network

网络登录。最常见的是访问网路共享文件夹或打印机。IIS认证也属于Logon Type 3 。

Logon Type 4 – Batch

计划任务

Logon Type 5 – Service

服务。某些服务用一个域账号来运行的，出现Failure常见的情况是管理员跟换了域密码但是忘了更改service的密码。

Logon Type 7 – Unlock

解除屏幕锁定。很多公司或者用户有这样的安全设置：当用户离开一段把时间，屏幕程序会锁定屏幕，解开屏幕输入账号密码就会产生该事件

Logon Type 8 – NetworkCleartext

网络明文登录，比如发生在IIS的ASP服务

Logon Type 9 – NewCredentials

新身份登录通常发生在RunAS方式运行的某程序时的登录验证

Logon Type 10 – RemoteInteractive

远程登录 产生事件10

Logon Type 11 – CachedInteractive

为方便笔记本用户，计算机会缓存前十次成功登录的登录

常见事件ID

使用方法

    在使用之前在需要调查的Windows主机上使用命令eventvwr.msc打开事件日志，然后找到每个对应需要查询的日志保存到本地，再打开logparser，输入指令：LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 日志路径”

    如下图：

命令：LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM C:\test\programlog.evtx"

另一种仔细查询的命令：

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT_TOKEN(Strings,5,'|') AS Client_IP FROM 'C:\test\systemlog.evtx' WHERE EventID=4624"

常见的操作命令

登录成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where EventID=4624″

指定登录时间范围的事件：

LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where TimeGenerated>’2018-06-19 23:32:11′ and TimeGenerated<’2018-06-20 23:34:00′ and EventID=4624″

提取登录成功的用户名和IP：

LogParser.exe -i:EVT –o:DATAGRID “SELECT EXTRACT_TOKEN(Message,13,’ ‘) as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,’|') as Username,EXTRACT_TOKEN(Message,38,’ ‘) as Loginip FROM c:\Security.evtx where EventID=4624″

登录失败的所有事件：

LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\Security.evtx where EventID=4625″

提取登录失败用户名进行聚合统计：

LogParser.exe -i:EVT “SELECT EXTRACT_TOKEN(Message,13,’ ‘) as EventType,EXTRACT_TOKEN(Message,19,’ ‘) as user,count(EXTRACT_TOKEN(Message,19,’ ‘)) as Times,EXTRACT_TOKEN(Message,39,’ ‘) as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message”

系统历史开关机记录

LogParser.exe -i:EVT –o:DATAGRID “SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006″

xxx 异常启动项、服务、计划任务xxx

首先我们要知道攻击者如果在服务器上面留后门的话不可能直接把后门程序放在显眼的位置，后门程序可能加载到某个程序、开机启动项、计划任务、自建服务等操作。

我们先看看一下开启启动项的问题，攻击者会把后门程序放在开机启动项里面，这样只要服务器重启服务器就会加载后门程序，攻击端就会就会接收到来自服务器的木马连接程序。

Msconfig命令看一下是否有异常的启动程序在加载，这个需要和运维人员来确认。

最基本的格式：LogParser –i:输入文件的格式 –o:输出格式 “SQL语句”

例子

1. C:\Program Files\Log Parser 2.2> logparser -i:iisw3c -o:csv “SELECT *FROM C:rizhi.log” >D:rizhi.scv

    最简单的转换，把C盘中rizhi.log这个日志转换成csv格式并保存到D盘。

    我们要注意的是-i:iisw3c，-i代表的是输入，iisw3c代表的是日志格式，例子中分析的是iis日志，因此标准格式的iisw3c。-o:scv，-o 代表的是输出，csv是输出文件的格式。”SELECT*FROM”这个是分析日志的SQL命令语句，我们可以用不同的SQL语句来分析日志。

2. MD5 Hashes of System Files

LogParser "SELECT Path, HASHMD5_FILE(Path) into a.txt FROM C:\Windows\System32\*.exe" -i:FS -recurse:0

3. Print the 10 largest files on the C: drive:

LogParser "SELECT TOP 10 Path, Name, Size FROM C:\*.* ORDER BY Size DESC" -i:FS

4. 获得本机登陆帐户的查看

LogParser.exe -o:nat "SELECT RESOLVE_SID(Sid) AS Account FROM Security WHERE EventID IN (540; 528)"

5. 获得系统日志的分类详细信息

LogParser "SELECT DISTINCT SourceName, EventID,SourceName,message INTO Event_*.csv FROM security" -i:EVT -o:CSV

LogParser "SELECT DISTINCT SourceName, EventID,SourceName,message INTO Event_*.csv FROM System" -i:EVT -o:CSV

根据id分类

LogParser "SELECT DISTINCT eventid, EventID,SourceName,message INTO Event_*.csv FROM System" -i:EVT -o:CSV

LogParser "SELECT DISTINCT eventid, EventID,SourceName,message INTO Event_*.csv FROM security" -i:EVT -o:CSV

6. 生成图形界面日志

LogParser "SELECT 'Event ID:', EventID, SYSTEM_TIMESTAMP(),message FROM security" -i:EVT -o:datagrid

Log Parser 使用示例：https://mlichtenberg.wordpress.com/2011/02/03/log-parser-rocks-more-than-50-examples/

其他工具推荐

LogParser Lizard

对于GUI环境的LogParser Lizard，其特点是比较易于使用，甚至不需要记忆繁琐的命令，只需要做好设置，写好基本的SQL语句，就可以直观的得到结果。

下载地址：http://www.lizard-labs.com/log_parser_lizard.aspx

依赖包：Microsoft .NET Framework 4 .5，下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=42642

查询最近用户登录情况：

Event Log Explorer

Event Log Explorer是一款非常好用的Windows日志分析工具。可用于查看，监视和分析跟事件记录，包括安全，系统，应用程序和其他微软Windows 的记录被记载的事件，其强大的过滤功能可以快速的过滤出有价值的信息。

下载地址：https://event-log-explorer.en.softonic.com/

参考：Windows日志分析 https://mp.weixin.qq.com/s/ige5UO8WTuOOO3yRw-LeqQ

推荐：https://www.jianshu.com/p/d325b4b1169c

推荐：https://blog.csdn.net/qq_29647709/java/article/details/85124105

推荐：https://www.cnblogs.com/qiqi9039420/articles/2051059.html

推荐：https://www.freebuf.com/articles/es/210315.html

推荐：https://bypass007.github.io/Emergency-Response-Notes/Windows/  --- 重点推荐，比较详细