python读取windows日志,python 日志分析

  python读取windows日志,python 日志分析

  所有Windows事件日志都存储在c: windows system32 winevtlogs中。

  在目录下。以evtx后缀结尾。

  事件是记录windows上重要事件的特殊文件。当用户登录系统或程序报告错误时,会记录这些错误。您可以显示“管理我的电脑右键菜单”-“事件查看器”。

  安装python_Evtx

  使用以下命令直接安装它。

  安装pip python-evtx

  如果没有安装pip,请下载get-pip.py

  运行后,python安装目录下有一个脚本目录,里面包含安装后脚本。如果这个目录是一个环境变量,您可以直接使用pip命令。

  Python_Evtx分析日志文件

  Python_Evtx可以将Evtx格式的日志文件解析成可读的XML文件。

  导入mmap

  导入上下文库

  from evtx.evtx导入文件头

  frome vtx . viewsimportvtx _ file _ XML _ view

  defmyfun(:)

  Evxpath= d: application.evtx #日志文件的路径

  withopen(evtXpath, r )为f:

  with context lib . closing(mmap . mmap)f . fileno),0,access=mmap。ACCESS_READ))作为buf:

  FH=文件头(buf,0))。

  #根元素创建事件的xml文件。

  打印

  打印

  #遍历事件

  对于xml,recordinevtx_file_XML_view(FH):

  打印XML

  打印

  if __name__==__main__ :

  MyFun())

  输出事件如下,有许多节点:

  4625

  0

  四

  0

  0

  0x00800000000000000

  一个

  应用

  肯电脑

  86400

  抑制重复教育

  软件微软事件系统事件日志

  值得注意的是,创建了事件id、事件数据和时间。

  当这个脚本运行时,它会输出这个文件的所有事件日志信息,但它不需要分析所有的事件,只需要分析感兴趣的部分。下面是我改进的代码。

  导入mmap

  导入上下文库

  from evtx.evtx导入文件头

  frome vtx . viewsimportvtx _ file _ XML _ view

  从xml.dom导入minidom

  defmyfun(:)

  evt XPath= d : application.evtx

  withopen(evtXpath, r )为f:

  with context lib . closing(mmap . mmap)f . fileno),0,access=mmap。ACCESS_READ))作为buf:

  FH=文件头(buf,0))。

  打印

  打印

  对于xml,recordinevtx_file_XML_view(FH):

  #仅输出事件ID为16384的内容

  interestevent(XML,16384).

  打印

  #过滤不想要的事件,输出感兴趣的事件

  事件定义(XML,事件id):

  xmldoc=minidom.parsestring(XML)).

  获取事件ID节点的事件ID

  事件id=XML doc . getelementsbyname( event id )[0]

  如果事件id==事件id:

  打印XML

  if __name__==__main__ :

  MyFun())

  常规事件ID

  事件ID

  名字

  解释

  20、24、25、31、34和35

  windows-更新-失败

  Windows update失败。

  104,1102

  Microsoft-windows-事件日志

  通常它不会被删除,除非攻击者试图删除痕迹。

  106

  Microsoft-windows-任务计划程序

  查看最近注册的计划任务。

  1014

  微软视窗域名系统客户端

  DNS分析超时。这个也很有用。恶意程序通常用于测试您是否连接到目标站点。

  2004、2005、2006、2033

  防火墙规则添加/更改/删除

  普通用户不会更改防火墙规则。

  3004

  微软-视窗-视窗卫士

  WD防病毒检测日志

  420、4724、4725、4728、4732、4635、4740、4748、4756

  Windows安全评估

  可以找到远程登录信息、用户权限等相关信息。

  7030,7045

  服务控制经理

  监控服务是配置为与桌面交互还是安装在系统上?

  8003、8004、8006、8007

  app-Locker-阻止/警告

  记录或警告被阻止的程序信息。

  注:本文来源于网络/媒体。本网站不能对本文的真实性、完整性、及时性和原创性提供任何保证。

  请自行核实,并承担相关风险和结果。

  CoLaBug.com根据【CC BY-SA 4.0】分享并维护其客观立场,但本网站对此类作品的侵权行为不承担直接责任和连带责任。

  如有版权、评论、投诉等问题,请通过【邮箱】联系我们。如需商业授权,请联系原作者/网站。

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: