各类日志分析工具
一、360星图日志分析工具
注意:
该程序运行于Windows环境,需要依赖JRE环境。普通版运行前需安装JRE环境;完整版包含了JRE环境。
使用说明:
第一步:打开配置文件/conf/config.ini:填写日志路径[log_file配置项],其他配置项可以选择配置
第二步:点击start.bat,运行程序;
第三部:运行完毕,分析结果在当前程序根目录下的/result/文件夹下。
提示:如果想添加Windows计划任务定期执行日志分析时,在“程序或脚本”步骤中请选择/cron.bat,无任何参数
FAQ:
1.在设置日志文件存放路径【log_file参数项】时,需要设置一个日志文件或放了日志文件的一级文件夹,不支持多层文件夹
2.执行窗口出现,TAIL : can’t open logs/output.log时
请打开logs/output.log查看星图是否开始执行,如果未执行,请关闭当前执行窗口,再次执行start
3.执行窗口出现:TAIL: read() failed,请查看logs/output.log星图是否执行完毕。
如果执行完毕,则无视这个提示;
如果仍在执行中,请加大星图运行内存后重新执行星图。
4.有关内存设置:
—有运行缓慢,长时间不出结果或者报出内存溢出等异常时,请增大默认的内存。
—内存设置建议:当日志超过500M 建议星图运行内存设置成分析日志大小的1.5倍
—如何设置?打开bin下xingtu.exe.vmoptions,如:把512m改大到1024m
获取到一些攻击IP地址后,进行反查和反攻操作
(1)namp扫描目标IP,并根据扫描情况进行进一步处理
(2)钟馗之眼进行数据搜索:https://www.zoomeye.org/
(3)微步在线进行情报搜集:https://x.threatbook.cn/
(4)其他任何可能的操作,如各类信息搜集渠道、社交媒体、搜索引擎、社工库信息等。
二、Log Parser及事件查看器
https://blog.youkuaiyun.com/qq_29647709/article/details/85124105
对于C:\Windows\System32\winevt\Logs\Security.evtx,普通管理员用户无法读取,所以最好将其复制出来进行查询。
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security.evtx
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM D:\Security.evtx where EventID=4799"
查询结果:
三、Log Parser Lizard
是属于Log Parser的可视化操作界面,同样使用SQL语句进行查询
http://t.zoukankan.com/downmoon-p-1558409.html
如果查询Security库出现权限不足的情况,请使用管理员启动LogParser Lizard即可。
四、火绒剑
扫一扫
1929
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
