Windows日志查看
作者:互联网
Windows日志查看
一、wevtutil工具
wevtutil工具用于检测有关事件日志和发布者的信息。在进行相关日志操作时推荐将“cmd”以管理员身份运行。
wevtutil命令参数:
el | enum-logs 列出日志名称。 gl | get-log 获取日志配置信息。 sl | set-log 修改日志配置。 ep | enum-publishers 列出事件发布者。 gp | get-publisher 获取发布者配置信息。 im | install-manifest 从清单中安装事件发布者和日志。 um | uninstall-manifest 从清单中卸载事件发布者和日志。 qe | query-events 从日志或日志文件中查询事件。 gli | get-log-info 获取日志状态信息。 epl | export-log 导出日志。 al | archive-log 存档导出的日志。 cl | clear-log 清除日志。
列出所有已注册的日志
wevtutil el
将System日志导出到文件D盘
wevtutil epl System D:\System_log.evtx
导出安全日志到D盘为Security_log.evtx
wevtutil epl Security D:\Security_log.evtx
导出RemoteApp and Desktop Connections/Admin日志到D盘RDC.evtx。因为RemoteApp and Desktop Connections/Admin中间存在空格和特殊字符需要使用双引号进行选中。
wevtutil epl "Microsoft-Windows-RemoteApp and Desktop Connections/Admin" D:\RDC.evtx
在安全日志中搜寻最近ID为4624的100条日志事件
wevtutil qe Security /q:"Event/System/EventID=4624" /c:100 /f:text
二、Log Parser工具
微软官方日志分析工具,可通过如下连接进行下载:
Download Log Parser 2.2 from Official Microsoft Download Center
可分析基于文本的日志文件、XML文件、CSV文件,以及操作系统的事件日志、注册表、文件系统、AD域等相关内容,并且可通过SQL语言进行数据分析,并把分析结果以图标形式进行展现。
显示全部日志:
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security_log.evtx"
只显示EventID为4624的日志:
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security.evtx where EventID=4624"
三、Event log explorer工具
可用于查看、监视和分析跟踪事件记录,可通过其强大的过滤功能快速过滤出有价值的信息。但是,商业版软件是收费的。
Windows日志审核相关内容请参考:Window安全审核 - ColoFly - 博客园 (cnblogs.com)
标签:evtx,log,查看,Windows,wevtutil,日志,Security 来源: https://www.cnblogs.com/ColoFly/p/16671483.html