被老外玩爽的中国美女视频,恐怖分子绞死美女视频,能看美女视频的网站

利用powershell進行windows日志分析

2019.06.03

0x00 前言

　　Windows 中提供了 2 個分析事件日志的 PowerShell cmdlet：一個是Get-WinEvent，超級強大，但使用起來比較麻煩；另一個是Get-EventLog，使得起來相當簡單，可以實時篩選，接下來，我們利用PowerShell 來自動篩選 Windows 事件日志。

0x01 Get-WinEvent

A、XML編寫

假設(shè)有這樣一個需求：windows server2008 R2環(huán)境，需要統(tǒng)計一下近7天用戶登錄次數(shù)。

我們可以直接利用事件查看器里面篩選日志，如下圖：

通過查看登錄日志，發(fā)現(xiàn)在真正的登錄時間，是這條日志，去其他不同的是，此條日志記錄的進程名是winlogon.exe 要實現(xiàn)比較精確的篩選，需要從這里入手，

進一步篩選點擊“事件屬性”里面的“詳細信息”中，可以看見一條信息，后面會用到：

在“篩選當前日志”中，選擇“XML”，勾選“手動編輯查詢”，并確認，在手動編輯中加入以下設(shè)置 *[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and 如圖(里面的PrcessName和winlogon.exe就是前面在“事件屬性”里面的“詳細信息”中看到的)：

*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and

點擊確認，可以精確的篩選用戶登錄事件。

windows server 2012的登錄篩選在windows server2012中，可能會有一些小變化，但是也沒關(guān)系，按照之前的解決思路即可。下面可做參考：

*[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and

*[EventData[Data[@Name='LogonType'] and (Data='10')]] and

B、Get-WinEvent使用

Get-WinEvent -FilterHashtable @{Logname='system';Id='6006','6005'}

0x02 Get-EventLog

Get-EventLog Security -InstanceId 4624,4625

$xml='<QueryList>  <Query Id="0" Path="Security">    <Select Path="Security">*[System[(EventID=4624)]]</Select>  </Query></QueryList>'$events = Get-WinEvent -FilterXml $xml$i=0#Write-Host '登錄時間','登錄類型','登錄賬號','登錄IP地址'while ($i -lt $events.length) {    $time=$events[$i].TimeCreated    $type=[regex]::matches($events[$i].Message, '登錄類型:(.+)') | %{$_.Groups[1].Value.Trim()}    $user=([regex]::matches($events[$i].Message, '帳戶名:(.+)') | %{$_.Groups[1].Value.Trim()})[1]    $IP=[regex]::matches($events[$i].Message, '源網(wǎng)絡(luò)地址:(.+)') | %{$_.Groups[1].Value.Trim()}    Write-Host $time,$user,$type,$IP    $i++}