标签:evtx log 查看 Windows wevtutil 日志 Security
Windows日志查看
一、wevtutil工具
wevtutil工具用于检测有关事件日志和发布者的信息。在进行相关日志操作时推荐将“cmd”以管理员身份运行。
wevtutil命令参数:
el | enum-logs 列出日志名称。 gl | get-log 获取日志配置信息。 sl | set-log 修改日志配置。 ep | enum-publishers 列出事件发布者。 gp | get-publisher 获取发布者配置信息。 im | install-manifest 从清单中安装事件发布者和日志。 um | uninstall-manifest 从清单中卸载事件发布者和日志。 qe | query-events 从日志或日志文件中查询事件。 gli | get-log-info 获取日志状态信息。 epl | export-log 导出日志。 al | archive-log 存档导出的日志。 cl | clear-log 清除日志。
列出所有已注册的日志
wevtutil el
将System日志导出到文件D盘
wevtutil epl System D:\System_log.evtx
导出安全日志到D盘为Security_log.evtx
wevtutil epl Security D:\Security_log.evtx
导出RemoteApp and Desktop Connections/Admin日志到D盘RDC.evtx。因为RemoteApp and Desktop Connections/Admin中间存在空格和特殊字符需要使用双引号进行选中。
wevtutil epl "Microsoft-Windows-RemoteApp and Desktop Connections/Admin" D:\RDC.evtx
在安全日志中搜寻最近ID为4624的100条日志事件
wevtutil qe Security /q:"Event/System/EventID=4624" /c:100 /f:text
二、Log Parser工具
微软官方日志分析工具,可通过如下连接进行下载:
Download Log Parser 2.2 from Official Microsoft Download Center
可分析基于文本的日志文件、XML文件、CSV文件,以及操作系统的事件日志、注册表、文件系统、AD域等相关内容,并且可通过SQL语言进行数据分析,并把分析结果以图标形式进行展现。
显示全部日志:
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security_log.evtx"
只显示EventID为4624的日志:
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security.evtx where EventID=4624"
三、Event log explorer工具
可用于查看、监视和分析跟踪事件记录,可通过其强大的过滤功能快速过滤出有价值的信息。但是,商业版软件是收费的。
Windows日志审核相关内容请参考:Window安全审核 - ColoFly - 博客园 (cnblogs.com)
标签:evtx,log,查看,Windows,wevtutil,日志,Security 来源: https://www.cnblogs.com/ColoFly/p/16671483.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。