黄山网站设计免费外链网站seo发布

无问社区-官网：http://www.wwlib.cn

本期无人投稿，欢迎大家投稿，投稿可获得无问社区AI大模型的使用红包哦！

无问社区：网安文章沉浸式免费看！

无问AI大模型不懂的问题随意问！

全网网安资源智能搜索只等你来！

01 工具介绍

    Logparser是微软的一款日志分析工具，使用方便功能强大。
支持的日志类型：
IISW3C,NCSA,IIS,IISODBC,BIN,IISMSID,HTTPERR,URLSCAN,CSV,TSV,W3C,XML,EVT, ETW,NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS,COM
可输出的文件类型
CSV, TSV, XML, DATAGRID, CHART, SYSLOG,NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL

02 工具演示

    查询语法与SQL语句一样，所以较容易上手，这里以windows系统日志为例。

Windows日志ID说明

    查询所有日志字段：

logparser -i:evt -o:DATAGRID "select * from S.evtx"

通常不会这么查询，因为有些信息是用不到的，会影响排查速度所以需要筛选字段来查看。

logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx"

logparser -i:evt -o:DATAGRID "select TimeGenerated,TimeWritten,EventType,Strings from S.evtx where TimeGenerated>timestamp('2021-12-01','yyyy-MM-dd')"

如果要进一步的过滤，如指定IP或者事件ID，我们可以采用以下方式来查询。
指定IP地址查询：

logparser -i:evt -o:DATAGRID "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='IP地址'"

指定事件ID查询：

logparser -i:evt -o:DATAGRID "select * from S.evtx where eventid=4625"

这里单独说一下EXTRACT_TOKEN()函数，这个函数需要传入三个参数，第一个参数为字段名；第二个参数为分割后的列数，列数从0开始排序；第三列为分隔符。

为了方便操作，我们也可以将查询结果导出到CSV文件中

logparser -i:evt -o:CSV "select EXTRACT_TOKEN(strings,19,'|') as LoginIp,EXTRACT_TOKEN(strings,17,'|') as ProcessName,message from dd.evtx where TimeGenerated>timestamp('2022-02-05','yyyy-MM-dd') and EXTRACT_TOKEN(strings,19,'|')='172.16.219.56'" > 5.csv

通过excel表格可以更加灵活的查找与筛选我们所需要的数据。