logparser使用介紹

首先，讓我們來(lái)看一下Logparser架構(gòu)圖，熟悉這張圖，對(duì)于我們理解和使用Logparser是大有裨益的

簡(jiǎn)而言之就是我們的輸入源(多種格式的日志源)經(jīng)過(guò) SQL語(yǔ)句(有SQL引擎處理)處理后，可以輸出我們想要的格式。

1、輸入源

從這里可以看出它的基本處理邏輯，首先是輸入源是某一種固定的格式，比如EVT(事件)，Registry(注冊(cè)表)等，對(duì)于每一種輸入源，它所涵蓋的字段值是固定的，可以使用logparser –h –i:EVT查出(這里以EVT為例)：

這里是一些可選參數(shù)，在進(jìn)行查詢的時(shí)候，可對(duì)查詢結(jié)果進(jìn)行控制，不過(guò)我們需要重點(diǎn)關(guān)注的是某一類(lèi)日志結(jié)構(gòu)里含有的字段值(在SQL查詢中匹配特定的段)：

對(duì)于每一類(lèi)字段值的詳細(xì)意義，我們可以參照l(shuí)ogparser的自帶文檔的參考部分，這里以EVT(事件)為例：

2、輸出源

輸出可以是多種格式，比如文本(CSV等)或者寫(xiě)入數(shù)據(jù)庫(kù)，形成圖表，根據(jù)自己的需求，形成自定的文件(使用TPL)等，比較自由

基本查詢結(jié)構(gòu)

了解了輸入和輸出源，我們來(lái)看一則基本的查詢結(jié)構(gòu)

Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”

這是一則基本的查詢，輸入格式是EVT(事件)，輸出格式是DATAGRID(網(wǎng)格)，然后是SQL語(yǔ)句，查詢E:\logparser\xx.evtx的所有字段，結(jié)果呈現(xiàn)為網(wǎng)格的形式:

看到這里，想必你已經(jīng)明白了，對(duì)于windows的安全日志分析，我們只需要取出關(guān)鍵進(jìn)行判斷或者比對(duì)，就可以從龐大的windows安全日志中提取出我們想要的信息。

windows安全日志分析

對(duì)于windows安全日志分析，我們可以根據(jù)自己的分析需要，取出自己關(guān)心的值，然后進(jìn)行統(tǒng)計(jì)、匹配、比對(duì)，以此有效獲取信息，這里通過(guò)windows安全日志的EVENT ID迅速取出我們關(guān)心的信息，不同的EVENT ID代表了不同的意義，這些我們可以在網(wǎng)上很容易查到，這里列舉一些我們平常會(huì)用到的。

有了這些我們就可以對(duì)windows日志進(jìn)行分析了 比如我們分析域控日志的時(shí)候，想要查詢賬戶登陸過(guò)程中，用戶正確，密碼錯(cuò)誤的情況，我們需要統(tǒng)計(jì)出源IP，時(shí)間，用戶名時(shí)，我們可以這么寫(xiě)(當(dāng)然也可以結(jié)合一些統(tǒng)計(jì)函數(shù)，分組統(tǒng)計(jì)等等)：

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675"

查詢結(jié)果如下：

如果需要對(duì)于特定IP進(jìn)行統(tǒng)計(jì)，我們可以這么寫(xiě)(默認(rèn)是NAT輸出)：

LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'"

或者將查詢保存為sql的格式：

SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS UserName,EXTRACT\_TOKEN(Strings,1,'|') AS Domain ,EXTRACT\_TOKEN(Strings,13,'|') AS SouceIP,EXTRACT\_TOKEN(Strings,14,'|') AS SourcePort FROM 'E:\logparser\xx.evtx' WHERE EXTRACT_TOKEN(Strings,13,'|') ='%ip%'

然后在使用的時(shí)候進(jìn)行調(diào)用

logparser.exe file:e:\logparser\ipCheck.sql?ip=x.x.x.x –i:EVT –o:NAT

查詢結(jié)果為：

怎么樣?是不是一目了然呢?根據(jù)特定登陸事件，直接定位到異常IP，異常時(shí)間段內(nèi)的連接情況。

同樣我們也可以選擇其他輸出格式，對(duì)日志分析和統(tǒng)計(jì)。上述所有操作都是在命令行下完成的，對(duì)于喜歡圖形界面的朋友，We also have choices!這里我們可以選擇使用LogParser Lizard。 對(duì)于GUI環(huán)境的Log Parser Lizard，其特點(diǎn)是比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設(shè)置，寫(xiě)好基本的SQL語(yǔ)句，就可以直觀的得到結(jié)果，這里給大家簡(jiǎn)單展示一下 首先選取查詢類(lèi)型

這里我們選擇windows event log，然后輸入剛才的查詢語(yǔ)句： 比

如：

SELECT TimeGenerated,EXTRACT\_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT\_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXTRACT\_TOKEN(Strings,5,'|') AS Client\_IP FROM 'e:\logparser\xx.evtx' WHERE EventID=675 AND EXTRACT\_TOKEN(Strings,5,'|')='x.x.x.x'

得到的查詢結(jié)果為(并且這里我們可以有多種查詢格式)：

具體其他功能，大家可以去嘗試一下~

總結(jié)

這里簡(jiǎn)單和大家介紹了在windows安全日志分析方面logparser的一些使用樣例，logparser的功能很強(qiáng)大，可進(jìn)行多種日志的分析，結(jié)合商業(yè)版的Logparser Lizard，你可以定制出很多漂亮的報(bào)表展現(xiàn)，圖形統(tǒng)計(jì)等，至于其他的功能，留給大家去探索吧~

最新評(píng)論