logparser參考鏈接:https://blog.csdn.net/Memetali_ss/article/details/105324878

一、基本查詢結(jié)構(gòu)

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\xx.evtx"

使用Log Parser分析日志

1、查詢登錄成功的事件

登錄成功的所有事件

LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:\Security.evtx where EventID=4624"

指定登錄時間范圍的事件：

LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:\Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登錄成功的用戶名和IP：

LogParser.exe -i:EVT? –o:DATAGRID? "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:\Security.evtx where EventID=4624"

2、查詢登錄失敗的事件

登錄失敗的所有事件：

LogParser.exe -i:EVT –o:DATAGRID? "SELECT *? FROM c:\Security.evtx where EventID=4625"

提取登錄失敗用戶名進行聚合統(tǒng)計：

LogParser.exe? -i:EVT "SELECT? EXTRACT_TOKEN(Message,13,' ')? as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message"

3、系統(tǒng)歷史開關(guān)機記錄：

LogParser.exe -i:EVT –o:DATAGRID "SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006"