Logparser是微软的一款日志分析工具,使用方便功能强大。
支持的日志类型:
IISW3C,NCSA,IIS,IISODBC,BIN,IISMSID,HTTPERR,URLSCAN,CSV,TSV,W3C,XML,EVT, ETW,NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS,COM
可输出的文件类型
CSV, TSV, XML, DATAGRID, CHART, SYSLOG,NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL
查询语法与SQL语句一样,所以较容易上手,这里以windows系统日志为例。
Windows日志ID说明
4624 | 登录失败 |
4625 | 登录成功 |
4768 | Kerberos身份认证请求(TGT) |
4769 | Kerberos服务票据请求 |
4776 | NTLM身份验证 |
4720 | 创建用户 |
4726 | 删除用户 |
4672 | 授予特殊权限 |
查询所有日志字段:
logparser -i:evt -o:DATAGRID "select * from S.evtx"
通常不会这么查询,因为有些信息是用不到的,会影响排查速度所以需要筛选字段来查看。
logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx"
果需要锁定时间范围,我们还可以筛选时间,这样查询的结果就是我们指定的时间范围内的日志了。
logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx where TimeGenerated>timestamp('2021-12-01','yyyy-MM-dd')"
如果要进一步的过滤,如指定IP或者事件ID,我们可以采用以下方式来查询。
指定IP地址查询:
logparser -i:evt -o:DATAGRID "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='IP地址'"
指定事件ID查询:
logparser -i:evt -o:DATAGRID "select * from S.evtx where eventid=4625"
这里单独说一下EXTRACT_TOKEN()函数,这个函数需要传入三个参数,第一个参数为字段名;第二个参数为分割后的列数,列数从0开始排序;第三列为分隔符。
为了方便操作,我们也可以将查询结果导出到CSV文件中
logparser -i:evt -o:CSV "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='172.16.219.56'" > 5.csv
通过excel表格可以更加灵活的查找与筛选我们所需要的数据。
