目录
逻辑解析器的介绍
逻辑解析器的介绍
(二)下载链接
逻辑分析器的安装
三、基本查询结构
4.使用日志分析器分析日志
(i)查询登录成功事件
1.所有登录成功事件
2.指定登录时间范围的事件
(二)检索成功登录的用户名和IP
(三)查询登录失败事件
1.所有登录失败
2.检索登录失败的用户名编译统计
(4)系统历史开关机记录
5.查询哪些帐户未能登录
五、常见事件ID
逻辑解析器的介绍
逻辑解析器的介绍
在多个窗口事件查看器的日志中定位你想要的记录是不容易的,logparser是微软官方提供的日志分析工具,它可以帮助我们很好地解决这个问题,我经常用来查找一个失败的登录帐户或查找一个锁定帐户记录,在紧急反应场景中使用高频。
(二)下载链接
https://www.microsoft.com/en-us/download/details.aspx?id=24659
逻辑分析器的安装
保持默认安装即可。
三、基本查询结构
-i指定输入源格式, -o指定输出格式,其余为SQL文档。
4.使用日志分析器分析日志
(i)查询登录成功事件
1.所有登录成功事件
2.指定登录时间范围的事件
(二)检索成功登录的用户名和IP
(三)查询登录失败事件
1.所有登录失败
2.检索登录失败的用户名编译统计
(4)系统历史开关机记录
5.查询哪些帐户未能登录
解释:
%%2307代表帐户已被锁定。
EXTRACT_TOKEN(字符串, 5, '|')函数是字符串中的分离子|的第五值。
五、常见事件ID
| 事件ID | 说明 |
| 1102 | 清理审计日志 |
| 4624 | 账号成功登陆 |
| 4625 | 账号登陆失败 |
| 4768 | kerberos认证(TGT请求) |
| 4769 | kerberos服务机票申请 |
| 4776 | NTLM身份验证 |
| 4672 | 授予特殊权限 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 加入“ सक्षम安全的全球集团”成员 |
| 4729 | 从一个安全的全球集团中移除成员 |
| 4732 | 将成员添加到一个安全的本地组,以便启用 |
| 4733 | 从安全本地组中删除成员 |
| 4756 | 将成员添加到一个安全的一般组,以使 |
| 4757 | 从安全通用组中删除成员 |
| 4719 | 系统审计策略修改 |