利用powershell进行windows日志分析

最新推荐文章于 2024-01-23 21:34:19 发布
最新推荐文章于 2024-01-23 21:34:19 发布
阅读量1.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 【应急响应实战笔记】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_23936389/article/details/81256004
本文介绍了如何使用PowerShell的Get-WinEvent和Get-EventLog cmdlet来分析Windows系统的用户登录日志。通过XML编辑查询和FilterHashtable参数,可以精确筛选出近7天的登录事件,特别是关注winlogon.exe进程。同时,提供了在Windows Server 2012中进行类似筛选的方法,并给出了相关的脚本示例和参考资料。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

  Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet:一个是Get-WinEvent,超级强大,但使用起来比较麻烦;另一个是Get-EventLog,使得起来相当简单,可以实时筛选,接下来,我们利用PowerShell 来自动筛选 Windows 事件日志。

0x01 Get-WinEvent

A、XML编写

假设有这样一个需求:windows server2008 R2环境,需要统计一下近7天用户登录次数。

我们可

了解本专栏 订阅专栏 解锁全文 超级会员免费看
powershell 针对日志的实例
lepton126的专栏
01-23 1364
C:\PowerShell\AppendixB> get-eventlog -list Max(K) Retain OverflowAction Entries Name ------ ------ -------------- ------- ---- 512 7 OverwriteOlder 486 Application 512 7 OverwriteOlder 0 Internet
应急响应:Window日志分析
最新发布
鹿鸣天涯
06-22 1018
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
Powershell 查询 Windows 日志
weixin_33859504的博客
09-16 453
论坛里面有人询问如何使用powershell脚本查询文件修改的审计日志,豆子服务器没开这个功能,不过尝试写了个类似的脚本可以查询日志,并输出对应的xml内容。基本方法是get-winevent, 可以指定对应的eventid,获取列表。如果想获取这个事件具体的内容,需要根据不同事件的xml内容进行变化。比如$Events = Get-WinEvent -ComputerName syddc01 -...
使用PowerShell分析CSV和可怜人的Web日志分析
cunfuteng7334的博客
10-02 380
I was messing around with some log files for the podcast and exported a CSV. There's lots of ways for us to get stats, but I was just poking around. 我在处理播客的一些日志文件并导出了CSV。 我们有很多方法可以获取统计数据,但我只是在闲逛。 Gi...
windows使用自带的PowerShell命令工具查看实时日志
nj0128的博客
11-13 8695
windows使用自带的PowerShell命令工具查看实时日志
利用PowerShell优化Windows 10 Debloater工具教程
总结而言,本文件所涉及的知识点是Windows 10操作系统,重点介绍了其PowerShell工具的使用,以及如何通过“Windows10Debloater-main”这类工具对系统进行优化和清理。了解这些知识点可以帮助用户更好地管理和维护...
Windows PowerShell1-基础知识
寒冰屋的专栏
01-23 2263
PowerShell作为Windows系统中的默认脚本,其实在开发中,我们用的很少。接下来的几篇文章都将PowerShell的相关知识,本章知识介绍PowerShell基本的知识。
利用PowerShell高效解决Windows Server问题
Windows Server故障排除与PowerShell》是一本专为Windows Server管理员、IT专业人员和支持人员设计的实用指南,作者Derek Schauland和Donald Jacobs以其丰富的经验,展示了如何利用PowerShell这一强大的工具来快速...
powershell 检索日志信息
weixin_33979363的博客
05-07 170
$strlog="c:\log\applog.txt";$e=$i=$w=0$tpath=Test-Path $strlogif(!$tpath){ New-Item -Path "c:\log" -ItemType dir New-Item -Path $strlog -ItemType file}Get-EventLog -LogName Applicatio...
Powershell使用WINDOWS事件日志记录程序日志
01-20
通常,人们使用基于文件的日志。这样做没有什么问题,但是使用WINDOWS提供系统内部日志会更加简单。 如果你有管理权限,你可以随时创建一个新的日志: 代码如下:New-EventLog -LogName myLog -Source JobDue, JobDone, Remark 该命令创造了一个名为Mylog的日志,这个事件源自”JobDUE”,”JobDone”和”Remark”。管理员权限只是为了创造日志,剩下的操作其它用户都可以操作。你现在可以为你的日志添加新的记录了。 代码如下:Write-EventLog -LogName myLog -Source JobDue -EntryT
日志记录:Powershell日志记录模块
02-06
日志记录:Powershell日志记录模块
PowerShell 监控日志
hong3731的专栏
08-18 2317
使用PowerShell 实时监控日志前言一、实时查看文件二、实时查看并过滤三、ping连接并检查特定端口是否可访问总结 前言 在Linux平台实时监控日志有tail命令,这个命令实时监控日志的时候非常好用,在windows平台也有类似的命令,能实现监控的功能 下面命令可供参考 一、实时查看文件 例如,发送到分析的图像服务器时,需要查看FTP日志文件。可以使用以下的方式来查看 # change directory to the folder containing the necessary file
PowerShell:筛选Windows事件日志中的关机事件。
weixin_33895657的博客
06-06 753
在对系统进行日志分析和审核时,系统管理员经常都需要手动去筛选并统计出 Windows 的关机事件。以前我一直都是直接在事件查看器中进行手动筛选,如果你要管理的服务器很多,手动操作起来会十分麻烦并低效率。所以想起了用 PowerShell 的 Get-EventLog cmdlet 来自动筛选 Windows 事件日志中的关机事件。使用Get-EventLog cmdlet超简...
PowerShell 基础知识:查询 Windows Server 事件日志
allway2的博客
08-03 1740
如果您通过 PowerShellWindows Server 交互,则可以使用 Get-EventLog、Clear-EventLog、Limit-EventLog、New-EventLog、Remove-EventLog、Show-EventLog 和 Write-EvengLog cmdlet 与这些事件日志进行交互。Get-EventLog 是一个非常有用的 cmdlet,在使用 Server Core 机器时,或者如果您只是想检查您管理的计算机上是否发生了特定事件,您肯定会使用它。......
Powershell指令操作Windows(Windows server)日志
afei001
07-26 1010
     1.Windows日志严重程度分类 有5种类型: (1)Error:错误 (2)Warning:警告 (3)Information:信息 (4)SuccessAudit:审核成功 (5)FailureAudit:审核失败 PS C:\WINDOWS\system32> [enum]::GetNames([System.Diagnostics.EventLogEntryType]) #获取系统日志分类 Error Warning Information SuccessAudit F.
Windows事件日志快速分析
Eric.zhong
06-05 4118
文章目录前言PowerShell命令方法PowerShell常用命令1. 检查服务器最近开关机时间2. 最近登录失败的详细信息常见EventID解释 前言 我每月都要给各种不同的客户做系统巡检,其中Windows事件日志检查是比较耗时的事情。它会记录许多的信息,特别是针对系统安全方面、系统故障排除方面有重要线索。我们可以通过一些事件关键字与信息,制作各种不同的脚本以便快速筛选过滤日志。 一般来说,我们可以通过如下两种方法实现日志过滤: Powershell => Win自带的命令行工具 Log Pa
Windows应急响应基础
Canterlot的博客
09-04 1526
包含了windows应急响应的基础知识、操作方法和相关工具的用法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值