python读取windows日志,python 日志分析

　　所有Windows事件日志都存储在c: windows system32 winevtlogs中。

　　在目录下。以evtx后缀结尾。

　　事件是记录windows上重要事件的特殊文件。当用户登录系统或程序报告错误时，会记录这些错误。您可以显示“管理我的电脑右键菜单”-“事件查看器”。

　　安装python_Evtx

　　使用以下命令直接安装它。

　　安装pip python-evtx

　　如果没有安装pip，请下载get-pip.py

　　运行后，python安装目录下有一个脚本目录，里面包含安装后脚本。如果这个目录是一个环境变量，您可以直接使用pip命令。

　　Python_Evtx分析日志文件

　　Python_Evtx可以将Evtx格式的日志文件解析成可读的XML文件。

　　导入mmap

　　导入上下文库

　　from evtx.evtx导入文件头

　　frome vtx . viewsimportvtx _ file _ XML _ view

　　defmyfun(:)

　　Evxpath= d: application.evtx #日志文件的路径

　　withopen(evtXpath， r )为f:

　　with context lib . closing(mmap . mmap)f . fileno)，0，access=mmap。ACCESS_READ))作为buf:

　　FH=文件头(buf，0))。

　　#根元素创建事件的xml文件。

　　打印

　　打印

　　#遍历事件

　　对于xml，recordinevtx_file_XML_view(FH):

　　打印XML

　　打印

　　if __name__==__main__ :

　　MyFun())

　　输出事件如下，有许多节点：

　　4625

　　0

　　四

　　0

　　0

　　0x00800000000000000

　　一个

　　应用

　　肯电脑

　　86400

　　抑制重复教育

　　软件微软事件系统事件日志

　　值得注意的是，创建了事件id、事件数据和时间。

　　当这个脚本运行时，它会输出这个文件的所有事件日志信息，但它不需要分析所有的事件，只需要分析感兴趣的部分。下面是我改进的代码。

　　导入mmap

　　导入上下文库

　　from evtx.evtx导入文件头

　　frome vtx . viewsimportvtx _ file _ XML _ view

　　从xml.dom导入minidom

　　defmyfun(:)

　　evt XPath= d : application.evtx

　　withopen(evtXpath， r )为f:

　　with context lib . closing(mmap . mmap)f . fileno)，0，access=mmap。ACCESS_READ))作为buf:

　　FH=文件头(buf，0))。

　　打印

　　打印

　　对于xml，recordinevtx_file_XML_view(FH):

　　#仅输出事件ID为16384的内容

　　interestevent(XML，16384).

　　打印

　　#过滤不想要的事件，输出感兴趣的事件

　　事件定义(XML，事件id):

　　xmldoc=minidom.parsestring(XML)).

　　获取事件ID节点的事件ID

　　事件id=XML doc . getelementsbyname( event id )[0]

　　如果事件id==事件id:

　　打印XML

　　if __name__==__main__ :

　　MyFun())

　　常规事件ID

　　事件ID

　　名字

　　解释

　　20、24、25、31、34和35

　　windows-更新-失败

　　Windows update失败。

　　104,1102

　　Microsoft-windows-事件日志

　　通常它不会被删除，除非攻击者试图删除痕迹。

　　106

　　Microsoft-windows-任务计划程序

　　查看最近注册的计划任务。

　　1014

　　微软视窗域名系统客户端

　　DNS分析超时。这个也很有用。恶意程序通常用于测试您是否连接到目标站点。

　　2004、2005、2006、2033

　　防火墙规则添加/更改/删除

　　普通用户不会更改防火墙规则。

　　3004

　　微软-视窗-视窗卫士

　　WD防病毒检测日志

　　420、4724、4725、4728、4732、4635、4740、4748、4756

　　Windows安全评估

　　可以找到远程登录信息、用户权限等相关信息。

　　7030,7045

　　服务控制经理

　　监控服务是配置为与桌面交互还是安装在系统上？

　　8003、8004、8006、8007

　　app-Locker-阻止/警告

　　记录或警告被阻止的程序信息。

　　注：本文来源于网络/媒体。本网站不能对本文的真实性、完整性、及时性和原创性提供任何保证。

　　请自行核实，并承担相关风险和结果。

　　CoLaBug.com根据【CC BY-SA 4.0】分享并维护其客观立场，但本网站对此类作品的侵权行为不承担直接责任和连带责任。

　　如有版权、评论、投诉等问题，请通过【邮箱】联系我们。如需商业授权，请联系原作者/网站。

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。