解析Evtx文件以获取特定内容的最有效方法

是使用Windows Event Log API。Evtx文件是Windows操作系统中的事件日志文件，其中包含了系统、应用程序和安全事件的记录。

Windows Event Log API是Windows操作系统提供的一组编程接口，可以用于读取和解析Evtx文件。通过使用Windows Event Log API，可以轻松地从Evtx文件中提取特定的事件记录。

以下是解析Evtx文件的步骤：

打开Evtx文件：使用Windows Event Log API中的OpenBackupEventLog函数打开Evtx文件。
读取事件记录：使用ReadEventLog函数从Evtx文件中读取事件记录。可以指定要读取的事件记录的范围、筛选条件和排序方式。
解析事件记录：对于每个读取到的事件记录，使用EventLogRecord类来解析其内容。可以获取事件的时间戳、事件ID、源、描述等信息。
提取特定内容：根据需要，从事件记录中提取特定的内容。可以根据事件ID、源、描述等信息来筛选所需的内容。
关闭Evtx文件：使用CloseEventLog函数关闭Evtx文件。

Evtx文件的解析可以应用于许多场景，例如系统故障排查、安全事件分析等。通过解析Evtx文件，可以快速定位和分析特定事件，从而提高故障排查和安全分析的效率。

腾讯云提供了一系列与日志相关的产品和服务，可以帮助用户管理和分析日志数据。其中，腾讯云日志服务（Cloud Log Service）是一种高可用、高可靠的日志管理服务，可以帮助用户收集、存储、检索和分析大量的日志数据。您可以通过腾讯云日志服务来存储和分析Evtx文件中的事件记录。

更多关于腾讯云日志服务的信息，请访问以下链接：

https://cloud.tencent.com/product/cls

相关·内容

应急响应-遭受入侵的通用处置方法

应急响应通用方法查看日志通过cmd输入eventvwr.msc打开事件查看器在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件常见的事件ID 安全日志...内存马又名无文件马，见名知意，也就是无文件落地的Webshell技术。...字段冰蝎中使用的Accept字段与常规浏览器使用的不同，且每次请求使用的Accept内容都相同 2、长连接冰蝎通讯默认使用长连接，避免了频繁的握手造成的资源开销。...请求含有pass= Cobaltstrike BeaconEye的核心原理是通过扫描 CobaltStrike中的内存特征，并进行 BeaconConfig扫描解析出对应的Beacon信息，项目地址是...或者lda///exp 3.body部分必定含有“@type”字段（指定反序列化类，调用类中属性的特定请求方法） 4.返回包状态码为500

1.5K1 0

闲聊Windows系统日志

处理应急事件时，客户提出需要为其提供溯源，这些日志信息在取证和溯源中扮演着重要的角色。 Windows事件日志文件实际上是以特定的数据结构的方式存储内容，其中包括有关系统，安全，应用程序的记录。...事件查看器单条日志记录删除思路分析事件记录格式后，了解到Windows系统在解析事件记录日志时，按照Event Record的大小逐条读取日志的内容。...图 test.evtx文件 File Header中的Next recordidentifier的值减一 File Header是整个文件最开始的部分，Nextrecord identifier的偏移量为...实验文件test.evtx内容如下： ? 图 test.evtx文件内容 Next record identifier的值为0x09。将该值减一0x08 写入。...图成功删除单条日志记录此处讲的是删除最后一条记录的详细过曾，删除第一条和中间的记录在实际操作中会有一些不一样的部分，只要对了解evtx文件的格式，删除evtx格式内容中的记录方法并不唯一。

11.5K1 0

VB.NET 用HtmlAgilityPack解析百度文库,获取百度文库中的内容(以富甲美国为例)

步骤: 1.首先在浏览器安装 "save as we "插件(用于把网页保存成HTML文件) 2.获取一篇百度文库文章...word/pdf格式等都可以(以为例) 3.点击"save as we",跳出提示按continue save 继续就可以把网页保存为HTML, ---- ---- 4.完全之策已准备就绪...5.制作HTML解析软件,在窗体上添加一个按钮,一个RichTextBox1文本框,一个textbox控件 6.直接上代码 Imports HtmlAgilityPack Imports System.Text...OpenFileDialog1.FileName "" Then Get_YBQ() End If End Sub End Class 7.此控件可以直接输入网址获取...HTML和打开本地HTML文件进行解析(这里不用在线是因为百度文库网页有保护不能直接获取网页源码) 8.如有问题请添加QQ群提问 9.声明:本HTML解析只做技术交流,切勿用于非法用途,否则后果自负!

8301 0

通过Windows事件日志介绍APT-Hunter

APT-Hunter具有两个部分，它们可以一起工作以帮助用户快速获取所需的数据。该工具将用于加快Windows日志分析的速度，但永远不会取代深度日志分析。...分析CSV日志：APT-hunter使用内置库（csv）来解析CSV日志文件，然后使用Regex为APT-Hunter中使用的每个事件提取字段。用户可以使用提取的字段来创建他们的用例。...分析EVTX日志：APT-hunter使用外部库（evtx）来解析EVTX日志文件，然后使用Regex为APT-Hunter中使用的每个事件提取字段。用户可以使用提取的字段来创建他们的用例。...易于添加新的检测规则，因为字段清除且语法易于使用。支持将Windows事件日志导出为EVTX和CSV。分析师可以将新的恶意可执行文件名称直接添加到list中。...：您可以将此CSV文件上传到timeketch，以便进行时间轴分析，以帮助您了解攻击的全貌。

1.5K2 0

神兵利器 - APT-Hunter 威胁猎人日志分析工具

APT-Hunter是Windows事件日志的威胁猎杀工具，它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动，以减少发现可疑活动的时间，而不需要有复杂的解决方案来解析和检测...通常情况下，客户没有SIEM或日志收集器的解决方案，这使得它真的很难收集的Windows事件日志，将它们上传到（SIEM解决方案 , 解析数据 , 开始搜索，以发现任何妥协的迹象，使用搜索，你必须记住他们...，为了不错过任何东西），如果你有许可证，但如果你不这样做，那么你是在你自己的享受提取CSV从evtx文件，并开始寻找事件的表与数百万的事件 ....分析CSV日志：APT-hunter使用内置库（csv）来解析CSV日志文件，然后使用Regex为APT-hunter中使用的每个事件提取字段。...分析EVTX日志：APT-hunter使用外部库（evtx）来解析EVTX日志文件，然后使用Regex为APT-Hunter中使用的每一个事件提取字段，用户可以使用提取的字段来创建他们的用例。

1.8K1 0

安全蓝队 : windows日志检索和分析

本文将介绍windows的日志类型、存放位置、检索方案以及方便检索的工具使用方法。...事件日志 Windows事件日志文件实际上是以特定的数据结构的方式存储内容，其中包括有关系统，安全，应用程序的记录。...默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误...[3.png] [4.png] 事件ID Windows 的日志以事件 id 来标识具体发生的动作行为，可通过下列网站查询具体 id 对应的操作 https://docs.microsoft.com/en-us...[5.png] --- 日志工具 Sysmon [6.png] Sysmon 是微软的一款轻量级的系统监控工具，最开始是由 Sysinternals 开发的，后来 Sysinternals 被微软收购，

3K2 1

痕迹清除-Windows日志清除绕过

windows日志清除目录在我们日常的安全攻击过程中，登录尝试、流程开发、其他用户和设备行为都记录在 Windows 事件日志中，这将会增大自身被溯源的风险，针对于windows日志痕迹清除主要总结了以下这些方法...wevtutil cl Application 但清除完会留下1012或104的系统日志获取最近十条日志 wevtutil.exe qe Security /f:text /rd:true /...2、结束日志进程 3、释放日志文件句柄 4、替换日志文件 5、重启日志服务运行完成后把删除处理后的日志重新导入安全日志，但会留下7034的系统日志 EventLogMaster 这是一款用于日志清除的...Phant0m以事件日志服务为目标，找到负责事件日志服务的进程，它会检测并终止负责事件日志服务的线程。...\Invoke-Phant0m.ps1 3、Invoke-Phant0m 重新启动日志事件服务重启会留下1100事件号的日志 MiniNT注册表可以使用注册表，创建一个新的注册表项，然后重新启动机器以加载配置单元

2.8K2 0

Windows系统安全事件日志取证工具：LogonTracer

文件，手动将域名cdn.rawgit.com解析到151.139.237.11上，该网址就可以正常访问了。...研究表明，监控以下事件对于调查未经授权的登录是有效的。基于此，LogonTracer还可以显示以下事件ID以进行可视化：附登录事件ID及说明： ?...原因：如果是上传文件按钮无法点击，原因是上面安装过程中提到的JS文件问题，按照上面安装过程的解决方法即可。如果是上传的EVTX格式的日志文件在上传后无法加载分析的，现象如下图： ?...原因二是上传的EVTX日志文件的问题，如可能当前的日志文件没有记录到任何除了IP为127.0.0.1的其他IP地址。（下图为Log Parser Lizard的分析截图） ?...获取详细的介绍、安装使用说明以及相关软件，请访问：https://github.com/JPCERTCC/LogonTrace/

3.1K2 0

Window日志分析

默认位置：%SystemRoot%\System32\Winevt\Logs\System.evtx 应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误...安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么，对于调查人员而言，更有帮助。...5 服务（Service）每种服务都被配置在某个特定的用户账号下运行。 7 解锁（Unlock）屏保解锁。...0x04 日志分析工具 Log Parser Log Parser（是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志...它可以像使用 SQL 语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。

2K2 0

【收藏】Windows服务器巡检的重要性，附脚本！

上次分享了Linux的信息收集脚本，有小伙伴说实际环境中还有不少Windows的机器，今天给大家分享个Windows服务器信息收集脚本以及使用方法，详见下面具体信息。...powershell 3.0或以上，版本不对可能有些命令执行不了）； 3、脚本运行完成后会在脚本目录下生成Check_Report_Date.html文件及C:\check_health\system.evtx...，security.evtx，app.evtx，setup.evtx四个日志文件； 4、生成的这5个文件即是这台机器的收集的信息，其中最主要的是Check_Report_Date.html。...2、主要实现的功能：收集OS基本配置，通过调用powershell模块获取系统配置信息（内存，CPU，网卡，磁盘等基础配置信息）采集OS的系统、应用、更新及安全日志文件；通过注册表信息获取OS系统已经安装的软件列表...；获取系统已经更新的补丁包安装信息；收集当前系统的网络连接信息；收集系统开启的、禁用的、停止的服务列表；收集系统运行的进程使用信息。

2.5K1 1

wmic命令解析与实例

WMI是可扩展性: 基于WMI的可扩展性 WMI对资源的操作，不是它自己实现了什么方法，而完全取决于向它注册的提供程序。 Q: 为啥需要WMIC.exe管理工具?...b.本地安全策略的“网络访问: 本地帐户的共享和安全模式”应设为“经典-本地用户以自己的身份验证”。.../AUTHORITY 指定连接的。 /?[:] 用法信息。有关特定全局开关的详细信息，请键入: switch-name /?...RDNIC - 对特定网络适配器的远程桌面连接管理。 RDPERMISSIONS - 特定远程桌面连接的权限。...Copy Delete GetEffectivePermission Rename TakeOwnerShip Uncompress Out - 以文件的形式输出获取的内容简单示例: # -Commands

2.4K2 0

安全运维 | RDP登录日志取证和清除

whoam1@奇安信首发地址：https://paper.seebug.org/1043 这篇文章由Cream朋友whoam1@奇安信授权发布，在此表示感谢，关于其他方面的文章或者技术可以浏览whoam1的博客...挂载驱动器监控二：清除 2.1 EventRecordID单条删除 2.2 IpAddress批量删除 2.3 powershell示例三：脚本化 3.1 取证示例 3.2 清除示例参考本文以server08...模式登录使用工具： wevtutil LogParser powershell regedit 一：取证取证关键点：登录IP 登录ip端口登录时间登录客户端主机名登录后操作日志服务端敏感文件...服务端登录的服务器ip 服务端浏览器记录 1.1 登录成功 EventID=4624，从安全日志中获取登录成功的客户端登录ip、登录源端口、登录时间等信息 1.1.1 Security 线上分析 LogParser...RDPportValue 1.7 挂载驱动器监控参考github：DarkGuardian：https://github.com/FunnyWolf/DarkGuardian 二：清除以下两种方式根据修改注册表实现以powershell

2.1K3 0

Live-Forensicator：一款针对事件响应和实时取证的PowerShell脚本

该工具可以通过收集不同的系统信息以进一步审查异常行为或意外的数据输入，除此之外，该工具还能够查找异常文件或活动，并向安全分析人员提供分析数据。...值得一提的是，该工具并没有内置任何的情报源，因此研究人员需要自行对输出数据进行分析，以决定是否需要进行更深入的调查分析。...该工具还提供了一些额外的功能，而这些功能需要依赖外部代码库。该工具提供了一个WINPMEM支持文件来实现获取RAM转储。...EVTX -RAM RAM -log4j log4j 检查与勒索软件加密文件具有类似扩展名的文件（可能需要一些时间才能完成）： ....； 3、我们可以在脚本的工作目录中找到所有提取的文件数据； 4、跟勒索软件识别相关的功能可以使用“-RANSOMEWARE”参数调用；工具运行许可证协议本项目的开发与发布遵循MIT开源许可证协议

2932 0

获取有性能问题SQL的方法2.慢查询日志介绍3. 实时获取3.SQL的解析预处理及生成执行计划4 对特定SQL的查询优化

获取有性能问题SQL的方法通过用户反馈(自然是不建议滴) 通过慢查询日志(时间可能较长) 实时获取 2.慢查询日志介绍 2.1 性能开销较低,主要来自于磁盘I/O和存储日志所需磁盘空间,对于现代磁盘...在运行的MySQL中,可通过set global启动也可通过脚本定时控制 slow_query_log_file 指定慢查询日志的存储路径及文件(默认在数据目录) 当然最好将日志/数据存储分开啦...生成日志服务器及日志文件名 ? 生成到slow.rep 执行vi slow.rep ? 提供信息远多于mysqldumpslow生成的 ? 续 3. 实时获取 ? 通过此表 ?...实例 3.SQL的解析预处理及生成执行计划 3.1 查询速度为什么会慢 ? MySQL服务器处理查询请求的整个过程 3.2 查询缓存对SQL性能的影响 ?...上述执行结果 4 对特定SQL的查询优化 ? ? 一个存储过程实例 4.1如何修改大表的结构 ? ? 主从方式 ? 减少主从延迟,操作有工具加减单 ? ? 数据示例表 ? alt语句 ? ?

2.4K9 1

win11系统的安全性真牛逼

"$_" 2>$null} wevtutil cl security 2>$null wevtutil cl system 2>$null 下面这个Powershell代码使用wevtutil el获取所有事件日志...，发现是Microsoft-Windows-LiveId/Operational和Microsoft-Windows-LiveId/Analytic清理时无权限查找文件只找到C:\Windows\System32...目录找不见“Microsoft-Windows-LiveId/Analytic”相关的文件，用Everything全盘搜索也没搜不到，为什么？...定位，该.evtx文件被WinHttpAutoProxySvc服务占用，WinHttpAutoProxySvc服务是运行中的状态尝试提权停止、禁用WinHttpAutoProxySvc服务均失败，总之...总之，要彻底清空win11的系统日志相当麻烦，最后还是在winpe中实现删.evtx文件，单纯只清空.evtx文件内容实现不了。

3582 0

日志安全之清除windows 日志

作者：Evi1oX 特别注意: (暂只支持 log 或者 txt 文件) 本来想研究清除 evtx 的事件 id 对应的 ip..暂时没有发现适合编辑 evtx 的脚本代码.....在 powershell 直接输出好像有点问题..所以我们暂时找到一个备用方案.用单引号引起来即可编写另一个替换内容的函数ip, param($path,$oldip),是用于直接 ip 方法时捕获...-path 和-oldip 内容, 使用 count获取文件行数....因为 powershell 没有每次替换一行的命令. 非常难受.所以我查询了下.网上没有相关的方法....最终使用$_ -replace $oldip,$nip -replace 替换旧的 ip 即可..执行效果如下初始文件内容 ? 使用ip 方法进行替换 ? 最终效果, 不多说了.大家都懂 ?

1.6K8 0

系统日志信息查看一览表

gp | get-publisher 获取发布者配置信息。 /{ge | getevents}:[true|false] #获取此发布者可能引发的事件的元数据信息。...* /{l | locale}:VALUE # VALUE 是以特定区域设置打印事件文本的区域设置字符串。只有在使用 /f 选项以文本格式打印事件时，才能使用该字符串。.../{u | username}:VALUE #指定一个不同的用户以登录到远程计算机。VALUE 是 domain\user 或 user 形式的用户名。...C:\backup\system0506.evtx。...wevtutil epl System C:\backup\system0506.evtx #11.要存档的日志文件。可以使用 export-log 或 clear-log 命令生成日志文件。

8152 0

各种日志分析方式汇总

它可以像使用 SQL 语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。...显示 foo 及后 5 行查看 grep 版本号的方法是 grep -V 2、grep 查找含有某字符串的所有文件 grep -rn "hello,world!"...通过查看数据库中最近新建的表的结构和内容，可以判断是否发生过sql注入漏洞攻击事件。检查方法： 1、数据库表检查 ?...Exec master.dbo.xp_cmdshell 'whoami' 3、需要结合 web 日志，通过查看日志文件的大小以及审计日志文件中的内容，可以判断是否发生过 sql 注入漏洞攻击事件。...通过查看网站目录中最近新建的可疑文件，可以判断是否发生过 sql 注入漏洞攻击事件。检查方法： 1、检查网站目录下，是否存在一些木马文件： ?

6K7 1

Windows 入侵痕迹清理技巧

为避免入侵行为被发现，攻击者总是会通过各种方式来隐藏自己，比如：隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。...\Winevt\Logs\Security.evtx 应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx 日志在注册表的键：HKEY_LOCAL_MACHINE...\system\CurrentControlSet\Services\Eventlog windows 日志清除方式：（1）最简单粗暴的方式开始→运行,输入 eventvwr 进入事件查看器，右边栏选择清除日志...通过该脚本遍历事件日志服务进程（专用svchost.exe）的线程堆栈，并标识事件日志线程以杀死事件日志服务线程。...但是用数据恢复软件，删除的文件尽快恢复，否则新的文件存入覆盖了原来的文件痕迹就很难恢复了。

3.4K1 2

围绕PowerShell事件日志记录的攻防博弈战

PowerShell攻击特性总结：无文件攻击特性防查杀，可躲避防火墙、众多反病毒软件和入侵防御系统：PowerShell的无文件特性，使其无需接触磁盘，内存直接加载并执行恶意代码。...，使攻击者无需增加额外的二进制文件，有效的躲避了常见的攻击检测和入侵防御系统。...防御角度（蓝队视角）：在执行任何PowerShell命令或脚本时，无论是本地还是通过远程处理，Windows都可以将事件写入以下三个日志文件： • Windows PowerShell.evtx •...PowerShell输入和输出对象，包括协议和版本协商以及命令I / O对象在表示为“有效负载数据”的字段中存储为XML编码的十六进制字符串，并且到期长度通常在多个日志消息中分段。...类型和ParameterBlinding内容，涉及执行过程和输入输出内容，模块日志功能的加入几乎可以完整的记录下PowerShell执行日志，给日志分析预警监测带来了极大的方便。

1.8K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云