[Windows运维]筛选Windows事件日志

Step:

1.打开Windows事件查看器(开始->运行->eventvwr.msc)

2.Sysmon的安装(可以监视系统的一切行为)

参考如下：https://www.freebuf.com/sectool/122779.html

3.使用筛选器查看我们想查看的事件，比如都有哪些进程被创建？EventID=1.创建进程的事件很多啊，怎样过滤多余的事件？

选择右侧'筛选当前日志'--->筛选器,XML选择xml，编辑其中内容。如果想编辑其中内容，需要先了解下日志事件的格式，如下所示：

- 
-  1 5 4 1 0 0x8000000000000000  2317368   Microsoft-Windows-Sysmon/Operational chz-xinandianzi  
-  2019-05-23 08:08:17.267 {F5D5875E-54F1-5CE6-0000-001082F0B91A} 12304 C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe 12.00.52519.0 built by: VSWINSERVICING Microsoft® Resource File To COFF Object Conversion Utility Microsoft® .NET Framework Microsoft Corporation C:\Windows\Microsoft.NET\Framework\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\MANAGE~1.ECS\AppData\Local\Temp\RES80D5.tmp" "c:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\CSC1E0FBC0A32F44D46B12F06D8F24F1B5.TMP" C:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\ CHZ-XINANDIANZI\ManagedAdmin {F5D5875E-70BA-5CE3-0000-00209FCF1400} 0x14cf9f 2 High SHA1=31B7A087F3C0325D11F8DE298F2D601AB8F94897 {F5D5875E-54F1-5CE6-0000-00103FE4B91A} 16064 C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe "C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\ManagedAdmin.ECS-WIN2012R2-0\AppData\Local\Temp\schitso3\schitso3.cmdline" 

我现在想过滤 创建进程事件，同时CurrentDirectory不是C:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\这个的事件列表，筛选条件如下所示：

 
   
*[System[(EventID=1)]] 
and
*[EventData[Data[@Name='CurrentDirectory']!='C:\Users\ManagedAdmin\XRFAppPlat.IEServer\Debug\']]

 

又比如想查看某段时间的事件？

*[System[(EventID=1) and TimeCreated[@SystemTime>='2019-05-21T20:00:31.000Z' and @SystemTime<='2019-05-21T20:50:31.999Z']]]

参考文档：

https://blog.51cto.com/yoke88/2320358?source=dra

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！