开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

解析Evtx文件以获取特定内容的最有效方法

是使用Windows Event Log API。Evtx文件是Windows操作系统中的事件日志文件，其中包含了系统、应用程序和安全事件的记录。

Windows Event Log API是Windows操作系统提供的一组编程接口，可以用于读取和解析Evtx文件。通过使用Windows Event Log API，可以轻松地从Evtx文件中提取特定的事件记录。

以下是解析Evtx文件的步骤：

打开Evtx文件：使用Windows Event Log API中的OpenBackupEventLog函数打开Evtx文件。
读取事件记录：使用ReadEventLog函数从Evtx文件中读取事件记录。可以指定要读取的事件记录的范围、筛选条件和排序方式。
解析事件记录：对于每个读取到的事件记录，使用EventLogRecord类来解析其内容。可以获取事件的时间戳、事件ID、源、描述等信息。
提取特定内容：根据需要，从事件记录中提取特定的内容。可以根据事件ID、源、描述等信息来筛选所需的内容。
关闭Evtx文件：使用CloseEventLog函数关闭Evtx文件。

Evtx文件的解析可以应用于许多场景，例如系统故障排查、安全事件分析等。通过解析Evtx文件，可以快速定位和分析特定事件，从而提高故障排查和安全分析的效率。

腾讯云提供了一系列与日志相关的产品和服务，可以帮助用户管理和分析日志数据。其中，腾讯云日志服务（Cloud Log Service）是一种高可用、高可靠的日志管理服务，可以帮助用户收集、存储、检索和分析大量的日志数据。您可以通过腾讯云日志服务来存储和分析Evtx文件中的事件记录。

更多关于腾讯云日志服务的信息，请访问以下链接：

https://cloud.tencent.com/product/cls

相关搜索:使用get方法获取特定文件内容以特定频率旋转图像的最简单方法在C#XML中解析XML以获取特定内容解析json文件以获取其中每个日期的特定字段使用rapidjson解析json文件最简单的方法是什么？解析json文件中字典中的特定内容解析/迭代html源代码，以仅使用wget获取特定文件 Express:解析传递给ejs文件的对象的最安全方法：读取文件并获取数组中的特定内容对网站的Http请求，以获取特定html元素的内容使用文件内容更新图像字段的最简单方法是什么覆盖文件内容而不删除目标文件的最简单方法是什么？仅迭代以特定字符开头的枚举中的值的最有效方法 Laravel以数组的形式获取翻译文件的内容 XML解析以获取XElement列表中的特定标记值。如何正确获取DLL文件的内容进行PE解析？需要更有效的方法来解析Python中的csv文件在C++中解析INI文件的最简单方法是什么？解析字符串中特定子字符串的最典型的方法是什么？ML引擎:获取GCS文件到机器上的最简单方法

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

闲聊Windows系统日志

最近遇到不少应急都提出一个需求，能不能溯源啊？这个事还真不好干，你把证据，犯案时间都确定的时候，要求翻看监控(日志)对应犯罪嫌疑人时，突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志，因此这种原因会少了很多，然而我对于Windows中系统日志不了解，在解读时经常摸不着头脑，所以就认真的分析了evtx格式的系统日志。这篇文章可能记录的不是很全面，师傅们多多指教。

01

应急响应-遭受入侵的通用处置方法

在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件

01

通过Windows事件日志介绍APT-Hunter

APT-Hunter是用于Windows事件日志的威胁搜寻工具，该工具能够检测隐藏在Windows事件日志中的APT运动，如果您是弄威胁情报的人，那么我保证您会喜欢使用此工具的，为什么？我将在本文中讨论原因，请注意，此工具仍为测试版，并且可能包含错误。

02

【收藏】Windows服务器巡检的重要性，附脚本！

上次分享了Linux的信息收集脚本，有小伙伴说实际环境中还有不少Windows的机器，今天给大家分享个Windows服务器信息收集脚本以及使用方法，详见下面具体信息。

01

神兵利器 - APT-Hunter 威胁猎人日志分析工具

APT-Hunter是Windows事件日志的威胁猎杀工具，它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动，以减少发现可疑活动的时间，而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击，如SIEM解决方案和日志收集器。

01

Window日志分析

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

02

痕迹清除-Windows日志清除绕过

在我们日常的安全攻击过程中，登录尝试、流程开发、其他用户和设备行为都记录在 Windows 事件日志中，这将会增大自身被溯源的风险，针对于windows日志痕迹清除主要总结了以下这些方法

02

[ffffffff0x] 安全蓝队 : windows日志检索和分析

在运维工作过程中，如若windows服务器被入侵，往往需要检索和分析相应的安全日志。除了安全设备，系统自带的日志就是取证的关键材料，但是此类日志数量庞大，需要高效分析windows安全日志，提取出我们想要的有用信息，就显得尤为关键。

02

win11系统的安全性真牛逼

部分版本的win11系统，即便启用了Administrator用户后，登录界面仍然不显示Administrator用户名，而是"其他用户"，强制让手输Administrator用户名和密码，这是微软出于安全性考虑

02

日志安全之清除windows 日志

本来想研究清除 evtx 的事件 id 对应的 ip..暂时没有发现适合编辑 evtx 的脚本代码. 所以文中结尾的 powershell 脚本就出来了

08

各种日志分析方式汇总

Windows 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

07

Live-Forensicator：一款针对事件响应和实时取证的PowerShell脚本

Live-Forensicator是一款功能强大的PowerShell脚本，该脚本同时也是Black Widow工具箱中的一个组件，该工具的主要目的是为了在信息安全取证调查和安全事件应急响应过程中，给广大研究人员提供一定的帮助，比如说快速实现实时数据取证等。

02

说说Windows安全应急响应

随着网络安全的快速发展，不少的互联网公司都积极的参与到了这个领域，随着《网络安全法》颁布与实施、等保2.0的颁布等为网路安全发展提供了有力的后盾。一个事物的快速发展，也会引起其它不利的事物萌芽。不错，就是网络入侵事件的出现，说白了就是黑产。比如Facebook泄露的8700万用户数据、前程无忧招聘网站求职信息的泄露、华住下多个连锁酒店5亿信息泄露、万豪喜达屋用户信息泄露等。

02

Windows系统安全事件日志取证工具：LogonTracer

最近在做着一些日志分析的活，刚好看到LogonTracer这款工具，于是就参考着网上仅有的文章去搭建了，搭建过程中会多少遇到一些问题，也就顺手将其记录到这篇文章中了，希望这篇文章能帮助到第一次搭建这款工具的小伙伴。

02

wmic命令解析与实例

描述：WMI的全名为”Windows Management Instrumentation - Windows管理规范“, 从Windows 98开始 Windows操作系统都支持WMI, 它是由一系列工具集组成的可以在本地或者远程管理计算机系统。

02

安全运维 | RDP登录日志取证和清除

EventID=4624，从安全日志中获取登录成功的客户端登录ip、登录源端口、登录时间等信息

03

Windows环境下的信息收集

通常我们在渗透测试过程中，遇到的Windows的环境是最多的，然而在拿到一台windows系统权限之后，我们要进行横向或者纵向渗透，这是针对windows的信息收集就显得尤为重要，下面我们就聊一下在windows下我们需要了解哪些信息，这些信息对于我们在后续的渗透测试中有有什么样的帮助。

00

导出系统日志发给技术支持协助分析

Windows获取日志非常方便，直接去这个目录拿就行了：C:\Windows\System32\winevt\Logs，按大小倒叙排列，一般看这3个

05

Windows日志分析工具_Windows7激活工具

1.日志文件位置控制面板→ 管理工具 → 事件查看器或者win + R:eventvwr.msc

01

系统日志信息查看一览表

描述:Windows 事件命令行实用程序,用于检索有关事件日志和发布者的信息，安装和卸载事件清单，运行查询以及导出、存档和清除日志。

02

网站服务器被入侵该如何查询攻击日志

当windows服务器遭到入侵时，在运行过程中经常需要检索和深入分析相应的安全日志。除安全防护设备外，系统软件内置系统日志是调查取证的关键材料，但此类系统日志数量非常庞大，须要对windows安全日志开展合理深入分析，以获取我们需要的有用信息，这一点尤为重要。本文详细介绍了windows的系统日志种类，存储具体位置，检索方式，以及使用工具的方便检索。

02

网站被入侵如何查询攻击日志来源

当windows服务器遭到入侵时，在运行过程中经常需要检索和深入分析相应的安全日志。除安全防护设备外，系统软件内置系统日志是调查取证的关键材料，但此类系统日志数量非常庞大，须要对windows安全日志开展合理深入分析，以获取我们需要的有用信息，这一点尤为重要。本文详细介绍了windows的系统日志种类，存储具体位置，检索方式，以及使用工具的方便检索。

03

Window日志分析

前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。

03

DOS 命令 | 每日一学，wevtutil 快速检索 Windows 系统事件日志元数据

Windows 事件日志是记录系统事件和错误信息的宝库。可以帮助你识别和解决各种问题，例如应用程序崩溃、系统错误和安全审核等。

01

Windows主机日志分析办法与思路

看到有人问，windows主机日志怎么做分析，今天就分享一篇文章专门来说说windows主机日志分析。以下所有内容皆属于个人以往工作经验总结出来的，不是什么权威的行业标准，纯属个人理解，仅供参考使用。

04

windows日志转发到服务器_windows查看日志

系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

01

围绕PowerShell事件日志记录的攻防博弈战

PowerShell一直是网络攻防对抗中关注的热点技术，其具备的无文件特性、LotL特性以及良好的易用性使其广泛使用于各类攻击场景。为了捕获利用PowerShell的攻击行为，越来越多的安全从业人员使用PowerShell事件日志进行日志分析，提取Post-Exploitation等攻击记录，进行企业安全的监测预警、分析溯源及取证工作。随之而来，如何躲避事件日志记录成为攻防博弈的重要一环，围绕PowerShell事件查看器不断改善的安全特性，攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据，以及事件记录的完整性。今年10月份微软发布补丁的CVE-2018-8415正是再次突破PowerShell事件查看器记录的又一方法，本文将细数PowerShell各大版本的日志功能安全特性，及针对其版本的攻击手段，品析攻防博弈中的攻击思路与技巧。

01

Revoke-Obfuscation：一款功能强大的PowerShell混淆检测框架

关于Revoke-Obfuscation Revoke-Obfuscation是一款功能强大的PowerShell混淆检测框架，该框架基于PowerShell开发，并且兼容PowerShell v3.0+脚本。在该工具的帮助下，广大研究人员可以轻松实现大规模的PowerShell命令或脚本的混淆检测。它依靠PowerShell的AST（抽象语法树）从任何输入的PowerShell脚本中快速提取数千个特征，并将该特征向量与一个包含了40多万个PowerShell脚本的语料库进行计算和对比。工作机

01

Windows 系统信息收集姿势

很多新入门的同学在在拿下一台服务器权限后经常会出现不知道做什么的问题，往往就会不管三七二十一提权 exp 一顿砸，在宕机的边缘疯狂试探。

02

【应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog等

1、七牛Logkit：(Windows&Linux&Mac等) https://github.com/qiniu/logkit/ 支持的数据源（各类日志，各个系统，各个应用等） File: 读取文件中的日志数据，包括csv格式的文件，kafka-rest日志文件，nginx日志文件等,并支持以grok的方式解析日志。

01

【转自聊聊架构公众号】 Redis大key图形化统计及展示

董明鑫，雪球 SRE 工程师，主要负责保障雪球稳定性、提升资源利用率及提高开发效率等方向。

04

CPU占用率爆满,服务器遭遇挖矿如何排查

「太用力的人跑不远, 真正坚持到最后的人靠的不是激情，而是恰到好处的喜欢和投入。」

02

渗透测试与开发技巧

https://github.com/3gstudent/Pentest-and-Development-Tips

02

hw面试题解答版

收到很多小伙伴的反响，hw面试题很多但是带答案的面试题比较少，在这里红队蓝军整理了一份带部分答案的hw面试题分享给大家。

01

Windows 入侵痕迹清理技巧

为避免入侵行为被发现，攻击者总是会通过各种方式来隐藏自己，比如：隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。

01

内网渗透基石篇—信息收集（下）

目标资产信息搜集的程度，决定渗透过程的复杂程度。目标主机信息搜集的深度，决定后渗透权限持续把控。渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。

02

System Data Archiver和System-Insights

我平时几乎用不上System Data Archiver和System-Insights，这里特意整理一篇文档，主要是释疑，因为在分析系统日志时，System Data Archiver挺碍事，去掉System Data Archiver分析日志会容易一些。

04

Windows系统日志分析工具– Log Parser「建议收藏」

可参考文章：日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客写完才看见。吐了

02

LangChain 概念篇

支持应用程序让其不仅会通过 API 调用语言模型，而且还会数据感知（将语言模型连接到其他数据源），Be agentic（允许语言模型与其环境交互），最终让应用程序更强大和更具差异化。

03

对于挖矿的检测以及防御方案

网上对于挖矿的检测也有很多的专业文章，笔者在此就对网上的文章做一个汇总再加上自己的一些不太成熟的想法，欢迎各位师傅们的探讨，当然，检测的方法还是从2个方向出发，基于流量层的检测以及主机行为的检测

03

用FullEventLogView分析日志

http://www.nirsoft.net/utils/full_event_log_view.html

05

蓝队技术 | 使用Sysmon日志识别和分析Windows恶意活动

在开始本文的内容之前，我们需要先在脑海里记住以下几个问题，并带着这些问题来阅读本文：

01

在Windows日志里发现入侵痕迹

有小伙伴问：Windows系统日志分析大多都只是对恶意登录事件进行分析的案例，可以通过系统日志找到其他入侵痕迹吗？

05

T1028: WinRM for Lateral Movement

WinRM（Windows Remote Management是WS-Management Protocol Microsoft 实现（具体体现为Win RM 服务)。

03

登录卡在"请稍候" "请等候 User Profile Service"，"禁用驱动程序强制签名"登录正常

开机F8，2个有图形界面的安全模式，能看到登录界面，输入密码后卡在"请等候User Profile Service"，"禁用驱动程序强制签名"输入密码后登录正常，其他选项黑屏看不到登录界面

nt10.0系统（server2016/2019）RuntimeBroker异常关机，关联事件ID 142/143/226/227/228等

C:\Windows\System32\winevt\Logs\Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Operational.evtx 日志对得上

03

Epagneul：一款针对Windows事件日志的可视化分析工具

Epagneul是一款针对Windows事件日志的可视化分析工具，可以帮助广大研究人员以可视化图形的方式查看、分析和审计Windows事件日志。

03

维基百科中的数据科学：手把手教你用Python读懂全球最大百科全书

几年前谁能想到，匿名贡献者们的义务工作竟创造出前所未有的巨大在线知识库？维基百科不仅是你写大学论文时最好的信息渠道，也是一个极其丰富的数据源。

03

爬虫之数据获取的3种方法

封面由ACE Land 人工智能设计师设计，最近升级了一点点小能力，可以给文字配上Icon啦～以下为正文：这是在开发一个持续监测电商数据变化的工具过程中的经验。集爬虫、数据可视化为一体的工具爬取网上的数据，最笨也最有效的方法就是解析HTML标签，通过class或者id或者HTML元素之间的位置关系（父子、前后）来选择到目标标签，然后通过getAttribute，getComputedStyle，innerText等来获取需要的数据。之前写过2篇文章，都涉及到这种最有效的方法：技能之谷歌Ch

07

干货 | Windows取证分析基础知识大全，赶快收藏！

想要做好取证分析工作，工具和技术只是辅助，思路才是核心和重点。本文将详细分享Microsoft Windows操作系统的基础数字取证知识，了解数据的存放位置和对应部件，便于快速确定关键证据，内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置。

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭