任务

1. 筛选登录失败日志，要求：日期2021-10-19、时间14:40-15:00
2. 筛选日志中的进程创建，要求：排除进程C:\Windows\System32\winlogon.exe
   

日志源码:

log.evtx

前置知识

windows日志格式

常用应急事件ID

Strings文本列格式

例如SELECT EXTRACT_TOKEN(Strings,18,'|’)可以截出源IP

任务一：筛选登陆失败日志

LogParser.exe -i:evt -o:datagrid "select * from 'log.evtx' where TimeGenerated>='2021-10-19 14:40:00' and TimeGenerated<='2021-10-19 15:00:00' and EventID=4625"
1

任务二：筛选日志中的进程创建

LogParser.exe -i:evt -o:datagrid "select * from 'log.evtx' where EventID=4688 and extract_token(Strings,5,'|')<>'C:\Windows\System32\winlogon.exe'"
1

排除前：

排除后：

完

欢迎关注我的CSDN博客 ：@Ho1aAs
版权属于：Ho1aAs
本文链接：https://ho1aas.blog.csdn.net/article/details/125430259
版权声明：本文为原创，转载时须注明出处及本声明