# windows_logparse

**Repository Path**: wzhiadmin/windows_logparse

## Basic Information

- **Project Name**: windows_logparse
- **Description**: 将Windows日志中常见高风险操作进行筛选，并输出到excel表格中，方便对高危操作进行快速定位
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 1
- **Forks**: 0
- **Created**: 2022-12-11
- **Last Updated**: 2023-04-10

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

## Windows日志分析辅助工具

将日志中常见高风险操作进行筛选，并输出到excel表格中，方便对高危操作进行快速定位。
通过调用LogParser进行日志筛选，所以仅支持windows环境下使用

## 环境准备
使用LogParser工具解析日志，所以需要提前下载好工具并配置到系统环境变量

下载地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659
## 使用方法
1、将C:\Windows\System32\winevt\Logs目录下三个日志文件导出，放到程序data目录

````
Security.evtx

Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
````
2、指定查询时间，运行程序即可，结果会保存到results目录下以当前时间命名的文件夹中


## 目前已实现几类常见功能，根据遇到的场景可以继续补充

计划任务相关操作日志：
![img.png](img/img.png)

用户操作日志：
![img_1.png](img/img_1.png)

登录成功&登录失败(增加登录失败原因)：
![img_3.png](img/img_3.png)

应用程序和服务日志-远程桌面服务日志：
![img_2.png](img/img_2.png)

日志清除记录：
![img.png](img/img_4.png)