LogParser解析Windows系统日志常用SQL合集
本文建议先把logparser添加到环境变量再配合powershell使用。
将LogParser添加到环境变量

被远程登录记录
事件ID:4625 登录失败
在 Security
日志中事件 ID 为 4625 代表身份验证失败,类型 3 代表从网络登录。但Logon Type 3 并不一定是 RDP 登录失败日志,可能是共享资源或打印机之类的网络登录,并且一些该类型的日志并不能获取到源 IP。
LogParser -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 登录时间 , EXTRACT_TOKEN(Strings, 5, '|') AS 用户名 , EXTRACT_TOKEN(Strings, 13, '|') AS 计算机名 , EXTRACT_TOKEN(Strings, 10, '|') AS 登录类型 , EXTRACT_TOKEN(Strings, 19, '|') AS 源IP , EXTRACT_TOKEN(Strings, 17, '|') AS 请求进程ID , EXTRACT_TOKEN(Strings, 18, '|') AS 请求进程名 FROM Security WHERE eventid = 4625 AND 登录类型 LIKE '3' OR 登录类型 LIKE '10' "

事件ID:4624 登录成功
在 Security
日志中事件 ID 为 4624,类型为 10 或 7,其中 7 代表会话重连(锁屏状态下重新登录)。
LogParser -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 登录时间 , EXTRACT_TOKEN(Strings, 5, '|') AS 用户名 , EXTRACT_TOKEN(Strings, 11, '|') AS 计算机名 , EXTRACT_TOKEN(Strings, 8, '|') AS 登录类型 , EXTRACT_TOKEN(Strings, 18, '|') AS 登录源IP , EXTRACT_TOKEN(Strings, 16, '|') AS 请求进程ID , EXTRACT_TOKEN(Strings, 17, '|') AS 请求进程名 FROM Security WHERE eventid = 4624 AND 用户名 NOT LIKE '%$' "

事件ID:21 登录会话
日志文件名:Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
LogParser 无法直接读取 Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
日志文件,需要拷贝到其他路径下并指定文件路径。
logparser -i:evt -o:datagrid " SELECT TimeGenerated AS 登录时间, ComputerName AS 计算机名 , EXTRACT_TOKEN(Strings, 0, '|') AS 登录用户名 , EXTRACT_TOKEN(Strings, 2, '|') AS 登录源 FROM your.evtx WHERE EventID = 21 "
事件ID:22 shell启动
日志文件名:Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
logparser -i:evt -o:datagrid " SELECT TimeGenerated AS 登录时间, ComputerName AS 计算机名 , EXTRACT_TOKEN(Strings, 0, '|') AS 登录用户名 , EXTRACT_TOKEN(Strings, 2, '|') AS 登录源 FROM your.evtx WHERE EventID = 22 "
事件ID:1149 远程登录记录
日志文件名:Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
LogParser.exe -i:reg -o:datagrid " select LastWriteTime as 最后登录时间 ,KeyName as 远程IP ,Value as 用户名 from \HKEY_CURRENT_USER\SOFTWARE\Microsoft where Path LIKE '%\Servers%' "
RDP会话断开/重连/注销
会话连接意外中断
会话断开(连接意外中断)会产生以下系列的日志:
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
- 24 RDP 会话断开
- 40 RDP 会话断开或重连
Security
- 4779 用户从 RDP 会话断开
- 4634 账号注销
连接断开日志包含一个 Reason
字段,具体含义参考:ExtendedDisconnectReasonCode enumeration – Win32 apps | Microsoft Docs
事件ID:24 RDP会话断开
LogParser.exe -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 登录时间, ComputerName AS 计算机名, EXTRACT_TOKEN(Strings, 0, '|') AS 用户名, EXTRACT_TOKEN(Strings, 1, '|') AS 会话ID, EXTRACT_TOKEN(Strings, 2, '|') AS 源IP FROM Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx WHERE EventID = 24 "

会话连接主动关闭
会话断开(连接主动关闭)会产生以下系列的日志:
Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
- 24 RDP 会话断开
- 39 RDP 会话断开
- 40 RDP 会话断开或重连
Security
- 4779 用户从 RDP 会话断开
- 4634 账号注销
主动关闭指的是用户有目的的断开,而不仅仅是通过关闭客户端来断开连接,通常是指通过开始菜单的断开连接选项执行的。
通过事件 ID 24 或者 ID 4779 可以确定 RDP 会话断开,如果需要确定是否主动关闭连接,需关联 ID 39 一同分析。
事件ID:39 RDP会话断开
LogParser.exe -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 登录时间, ComputerName AS 计算机名, EXTRACT_TOKEN(Strings, 0, '|') AS 目标会话, EXTRACT_TOKEN(Strings, 1, '|') AS 源 FROM Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx WHERE EventID = 39 "

会话重连
会话重连一般指远程登录超时后屏幕锁定了,或者手动操作的锁定,在登录屏幕下重新登录的方式。在远程登录全屏模式下,可以通过 Win+L
锁定屏幕,或执行 rundll32.exe user32.dll LockWorkStation
来锁定屏幕。
会话重连成功的记录(ID 4624 类型 7)
LogParser -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 登录时间 , EXTRACT_TOKEN(Strings, 5, '|') AS 用户名 , EXTRACT_TOKEN(Strings, 11, '|') AS 计算机名 , EXTRACT_TOKEN(Strings, 8, '|') AS 登录类型 , EXTRACT_TOKEN(Strings, 18, '|') AS 登录源IP , EXTRACT_TOKEN(Strings, 16, '|') AS 请求进程ID , EXTRACT_TOKEN(Strings, 17, '|') AS 请求进程名 FROM Security WHERE eventid = 4624 AND 登录类型 LIKE '7' "
会话重连失败的记录(ID 4625 类型 7)
LogParser -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 登录时间 , EXTRACT_TOKEN(Strings, 5, '|') AS 用户名 , EXTRACT_TOKEN(Strings, 13, '|') AS 计算机名 , EXTRACT_TOKEN(Strings, 10, '|') AS 登录类型 , EXTRACT_TOKEN(Strings, 19, '|') AS 源IP , EXTRACT_TOKEN(Strings, 17, '|') AS 请求进程ID , EXTRACT_TOKEN(Strings, 18, '|') AS 请求进程名 FROM Security WHERE eventid = 4625 AND 登录类型 LIKE '7' "
事件ID:23 会话注销
日志文件名:Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
LogParser.exe -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 登录时间, ComputerName AS 计算机名, EXTRACT_TOKEN(Strings, 0, '|') AS 用户名, EXTRACT_TOKEN(Strings, 1, '|') AS 会话ID FROM Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx WHERE EventID = 23 "

日志服务记录
事件ID:7031 日志服务重启
LogParser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 时间, EXTRACT_TOKEN(Strings, 0, '|') AS 服务名 , EXTRACT_TOKEN(Strings, 4, '|') AS 动作 , Message AS 描述 FROM System WHERE eventid = 7031 AND 服务名 = 'Windows Event Log' "

事件ID:1102 安全日志清除记录
LogParser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 时间, Message AS 描述 FROM Security WHERE eventid = 1102 "

事件ID:104 其他日志清除记录
LogParser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 时间 , EXTRACT_TOKEN(Strings, 0, '|') AS 用户 , Message AS 描述 FROM system WHERE eventid = 104 "
计划任务(64位系统无法查询)
由于logparser只有编译好的32位版本,在64位系统上获取注册表信息会被重定向导致获取信息为空。
LogParser.exe -i:reg -o:datagrid " SELECT * FROM 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache' "
计划任务(32位系统)

计划任务(64位系统)

因此不建议使用logparser获取注册表信息!
事件ID:4698 已创建计划任务
LogParser.exe -i:EVT -o:datagrid " select TimeWritten as 创建时间 ,extract_token(Strings,1,'|') as 创建者 ,extract_token(Strings,4,'|') as 计划任务名称 ,extract_token(Strings,1,'Exec>') as 执行命令 ,extract_token(Strings,1,'Enabled>') as 是否启用 from Security where eventid=4698 "

事件ID:4699 已删除计划任务
LogParser.exe -i:EVT -o:datagrid " select TimeGenerated as 删除时间 ,extract_token(Strings,1,'|') as 删除者 ,extract_token(Strings,4,'|') as 计划任务名称 from Security where eventid=4699 "

系统用户变更记录
事件ID:4720 用户创建
LogParser.exe -i:EVT -o:datagrid " select TimeGenerated as 创建时间 ,extract_token(Strings,0,'|') as 被创建用户名 ,extract_token(Strings,4,'|') as 创建者 from Security where eventid=4720 "

事件ID:4722 用户启用
LogParser.exe -i:EVT -o:datagrid " select TimeGenerated as 启用时间 ,extract_token(Strings,0,'|') as 被启用用户名 ,extract_token(Strings,4,'|') as 启用者 from Security where eventid=4722 "

事件ID:4726 用户删除
LogParser.exe -i:EVT -o:datagrid " select TimeGenerated as 删除时间 ,extract_token(Strings,0,'|') as 被删除用户名 ,extract_token(Strings,4,'|') as 删除者 from Security where eventid=4726 "

事件ID:4732 用户属组变更
LogParser.exe -i:EVT -o:datagrid " select TimeGenerated as 操作时间 ,extract_token(Strings,0,'|') as 被变更用户名 ,extract_token(Strings,2,'|') as 变更组 ,extract_token(Strings,6,'|') as 操作者 from Security where eventid=4732 "

RDP开放端口
LogParser.exe -i:reg -o:datagrid " select LastWriteTime as 最后写入时间 ,Value as 远程端口 from 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' where ValueName like 'PortNumber' "

RDP远程登录其他主机记录
远程登录记录需要通过查询注册表获取。
LogParser.exe -i:reg -o:datagrid " select LastWriteTime as 最后登录时间 ,KeyName as 远程IP ,Value as 用户名 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers' "
Powershell执行记录
在powershell日志中,执行一个powershell命令会产生6条日志,其中2条引擎生命周期日志(EventID:400启用;EvnetID:403停止),6条程序生命周期日志(EventID:600)(Registry、Alias、Environment、FileSystem、Function、Variable的启动)
powershell 主要关注hostApplication的值。
事件ID:400 启用
日志文件名:Windows PowerShell.evtx
logparser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 时间 , EXTRACT_TOKEN(EXTRACT_TOKEN(Strings, 1, 'Host Application = '), 0, 'Engine Version') AS 数据 FROM your.evtx WHERE eventid = 4103 "
注:logparser使用表格格式输出有长度限制,可能显示不全。
事件ID:4103 正在执行管道
日志文件名:Microsoft-Windows-PowerShell%4Operational.evtx
logparser.exe -i:evt " SELECT TimeGenerated AS 时间, ComputerName AS 计算机名, Sid , EXTRACT_TOKEN(EXTRACT_TOKEN(Strings, 1, 'Host Application = '), 0, 'Engine Version') AS 数据 FROM your.evtx WHERE eventid = 4103 "

事件ID: xxxx powershell下载文件记录
日志文件名:Microsoft-Windows-PowerShell-DesiredStateConfiguration-FileDownloadManager%4Operational.evtx
待补充
CMD命令执行记录
事件ID:4688 创建新进程
4688 Windows默认没有开启,需要提前手动开启。
LogParser.exe -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 时间, EXTRACT_TOKEN(Strings, 1, '|') AS 用户名 , EXTRACT_TOKEN(Strings, 4, '|') AS 进程pid , EXTRACT_TOKEN(Strings, 5, '|') AS 进程名 , EXTRACT_TOKEN(Strings, 7, '|') AS 父进程ppid , EXTRACT_TOKEN(Strings, 13, '|') AS 父进程名 , EXTRACT_TOKEN(Strings, 8, '|') AS 命令行 FROM Security.evtx WHERE EventID = 4688 "

事件ID:4689 结束进程
LogParser.exe -i:EVT -o:DATAGRID " SELECT TimeGenerated AS 时间, EXTRACT_TOKEN(Strings, 1, '|') AS 用户名 , EXTRACT_TOKEN(Strings, 4, '|') AS 状态码 , EXTRACT_TOKEN(Strings, 5, '|') AS 进程pid , EXTRACT_TOKEN(Strings, 6, '|') AS 进程名 FROM Security.evtx WHERE EventID = 4689 "

如何开启CMD命令审核策略?
运行 secpol.msc
可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话windows就不会记录某些事件,比如进程创建事件等。需要逐一手动修改审核策略的属性,将审核操作选上成功和失败。

或者用管理员权限的cmd执行下面的命令一键开启。
echo [version] >1.inf && echo signature="$CHICAGO$" >>1.inf && echo [Event Audit] >>1.inf && echo AuditSystemEvents=3 >>1.inf && echo AuditObjectAccess=3 >>1.inf && echo AuditPrivilegeUse=3 >>1.inf && echo AuditPolicyChange=3 >>1.inf && echo AuditAccountManage=3 >>1.inf && echo AuditProcessTracking=3 >>1.inf && echo AuditDSAccess=3 >>1.inf && echo AuditAccountLogon=3 >>1.inf && echo AuditLogonEvents=3 >>1.inf && secedit /configure /db 1.sdb /cfg 1.inf /log 1.log

网络请求记录
事件ID:1057 WinINet网络请求记录
该日志默认是关闭的,需要提前开启。抓C2的很好使,懂的都懂。
应用程序和服务日志->Microsoft->Windows->WinINet(Microsoft-Windows-WinINet),右键启动 Microsoft-Windows-WinINet/UsageLog
日志。

也可以通过命令行开启。
wevtutil gl "Microsoft-Windows-WinINet/UsageLog" wevtutil sl /e /q "Microsoft-Windows-WinINet/UsageLog"

由于该日志是etl格式的,所以logparser无法解析。

事件ID:5156 外对内网络连接
5156的事件也需要提前开启,开启的方式和4688相同。
LogParser.exe -i:EVT -o:datagrid " select TimeGenerated As 时间,extract_token(Strings,1,'|') As 应用程序名 ,extract_token(Strings,0,'|') as 进程id ,extract_token(Strings,2,'|') as 方向 ,extract_token(Strings,3,'|') as 源IP ,extract_token(Strings,4,'|') as 源端口 ,extract_token(Strings,5,'|') as 目的IP ,extract_token(Strings,6,'|') as 目的端口 ,extract_token(Strings,7,'|') as 协议号 from Security where eventid=5156 and 方向='%%14593' "

事件ID:5156 内对外网络连接
LogParser.exe -i:EVT -o:datagrid " select TimeGenerated As 时间,extract_token(Strings,1,'|') As 应用程序名 ,extract_token(Strings,0,'|') as 进程id ,extract_token(Strings,2,'|') as 方向 ,extract_token(Strings,3,'|') as 源IP ,extract_token(Strings,4,'|') as 源端口 ,extract_token(Strings,5,'|') as 目的IP ,extract_token(Strings,6,'|') as 目的端口 ,extract_token(Strings,7,'|') as 协议号 from Security where eventid=5156 and 方向='%%14592' "

特权调用
域内主机才会有这类事件ID。
事件ID:4673已调用特权服务
LogParser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 登录时间, EXTRACT_TOKEN(Strings, -2, '|') AS 进程pid, EXTRACT_TOKEN(Strings, 1, '|') AS 帐户名称, EXTRACT_TOKEN(Strings, 2, '|') AS 帐户域, EXTRACT_TOKEN(Strings, -3, '|') AS 特权名称, EXTRACT_TOKEN(Strings, -1, '|') AS 进程名 FROM Security.evtx WHERE EventID = 4673 "
特权名称作用可以参考:https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/event-4673
事件ID:4674尝试对特权对象执行操作
LogParser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 登录时间, EXTRACT_TOKEN(Strings, -2, '|') AS 进程pid, EXTRACT_TOKEN(Strings, 1, '|') AS 帐户名称, EXTRACT_TOKEN(Strings, 2, '|') AS 帐户域, EXTRACT_TOKEN(Strings, 5, '|') AS 对象类型, EXTRACT_TOKEN(Strings, 6, '|') AS 对象名称, EXTRACT_TOKEN(Strings, -3, '|') AS 特权名称, EXTRACT_TOKEN(Strings, -1, '|') AS 进程名 FROM Security.evtx WHERE EventID = 4674 "

应用程序远程登录
日志文件名:Application.evtx
MSSQL远程登录
事件ID:18456 登录失败
logparser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 时间, SourceName AS 来源, ComputerName AS 计算机名 , EXTRACT_TOKEN(Strings, 0, '|') AS 登录名 , EXTRACT_TOKEN(Strings, 1, '|') AS 原因 , EXTRACT_TOKEN(Strings, 2, '|') AS 源IP FROM Application.evtx WHERE EventID = 18456 "

事件ID:18454 登录成功
logparser.exe -i:evt -o:datagrid " select TimeGenerated as 时间 ,SourceName as 来源 ,ComputerName as 计算机名 ,EXTRACT_TOKEN(Strings,0,'|') as username as 登录名 ,EXTRACT_TOKEN(Strings,1,'|') as 原因 ,EXTRACT_TOKEN(Strings,2,'|') as 源IP from Application.evtx where EventID=18454 "
事件ID:15457 xp_cmdshell启用信息
logparser.exe -i:evt -o:datagrid " SELECT TimeGenerated AS 时间, SourceName AS 来源, ComputerName AS 计算机名 , EXTRACT_TOKEN(Strings, 0, '|') AS 方法 , EXTRACT_TOKEN(Strings, 1, '|') AS 状态1 , EXTRACT_TOKEN(Strings, 2, '|') AS 状态2 FROM Application.evtx WHERE EventID = 15457 AND 方法 = 'xp_cmdshell' "赞赏
微信赞赏
支付宝赞赏
3条评论