python读取windows日志,python 日志分析
所有Windows事件日志都存储在c: windows system32 winevtlogs中。
在目录下。以evtx后缀结尾。
事件是记录windows上重要事件的特殊文件。当用户登录系统或程序报告错误时,会记录这些错误。您可以显示“管理我的电脑右键菜单”-“事件查看器”。
安装python_Evtx
使用以下命令直接安装它。
安装pip python-evtx
如果没有安装pip,请下载get-pip.py
运行后,python安装目录下有一个脚本目录,里面包含安装后脚本。如果这个目录是一个环境变量,您可以直接使用pip命令。
Python_Evtx分析日志文件
Python_Evtx可以将Evtx格式的日志文件解析成可读的XML文件。
导入mmap
导入上下文库
from evtx.evtx导入文件头
frome vtx . viewsimportvtx _ file _ XML _ view
defmyfun(:)
Evxpath= d: application.evtx #日志文件的路径
withopen(evtXpath, r )为f:
with context lib . closing(mmap . mmap)f . fileno),0,access=mmap。ACCESS_READ))作为buf:
FH=文件头(buf,0))。
#根元素创建事件的xml文件。
打印
打印
#遍历事件
对于xml,recordinevtx_file_XML_view(FH):
打印XML
打印
if __name__==__main__ :
MyFun())
输出事件如下,有许多节点:
4625
0
四
0
0
0x00800000000000000
一个
应用
肯电脑
86400
抑制重复教育
软件微软事件系统事件日志
值得注意的是,创建了事件id、事件数据和时间。
当这个脚本运行时,它会输出这个文件的所有事件日志信息,但它不需要分析所有的事件,只需要分析感兴趣的部分。下面是我改进的代码。
导入mmap
导入上下文库
from evtx.evtx导入文件头
frome vtx . viewsimportvtx _ file _ XML _ view
从xml.dom导入minidom
defmyfun(:)
evt XPath= d : application.evtx
withopen(evtXpath, r )为f:
with context lib . closing(mmap . mmap)f . fileno),0,access=mmap。ACCESS_READ))作为buf:
FH=文件头(buf,0))。
打印
打印
对于xml,recordinevtx_file_XML_view(FH):
#仅输出事件ID为16384的内容
interestevent(XML,16384).
打印
#过滤不想要的事件,输出感兴趣的事件
事件定义(XML,事件id):
xmldoc=minidom.parsestring(XML)).
获取事件ID节点的事件ID
事件id=XML doc . getelementsbyname( event id )[0]
如果事件id==事件id:
打印XML
if __name__==__main__ :
MyFun())
常规事件ID
事件ID
名字
解释
20、24、25、31、34和35
windows-更新-失败
Windows update失败。
104,1102
Microsoft-windows-事件日志
通常它不会被删除,除非攻击者试图删除痕迹。
106
Microsoft-windows-任务计划程序
查看最近注册的计划任务。
1014
微软视窗域名系统客户端
DNS分析超时。这个也很有用。恶意程序通常用于测试您是否连接到目标站点。
2004、2005、2006、2033
防火墙规则添加/更改/删除
普通用户不会更改防火墙规则。
3004
微软-视窗-视窗卫士
WD防病毒检测日志
420、4724、4725、4728、4732、4635、4740、4748、4756
Windows安全评估
可以找到远程登录信息、用户权限等相关信息。
7030,7045
服务控制经理
监控服务是配置为与桌面交互还是安装在系统上?
8003、8004、8006、8007
app-Locker-阻止/警告
记录或警告被阻止的程序信息。
注:本文来源于网络/媒体。本网站不能对本文的真实性、完整性、及时性和原创性提供任何保证。
请自行核实,并承担相关风险和结果。
CoLaBug.com根据【CC BY-SA 4.0】分享并维护其客观立场,但本网站对此类作品的侵权行为不承担直接责任和连带责任。
如有版权、评论、投诉等问题,请通过【邮箱】联系我们。如需商业授权,请联系原作者/网站。
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。