×

Windows日志分析工具(GUI版):让应急响应事半功倍

hqy hqy 发表于2024-12-25 22:19:44 浏览72 评论0

抢沙发发表评论

前言介绍:

应急响应工作中,Windows日志分析占据着重要地位。然而,Windows自带的事件查看器存在诸多局限性:单次只能查看一条日志详情,大量事件ID和日志路径也让非专业人员望而生畏。这些不足严重制约了应急溯源效率。
基于多年Windows应急响应经验,小编找来了一款基于Go语言的日志分析工具。该工具通过调用Windows API获取原始日志,并将XML格式的日志信息映射到专门设计的结构体中。所有提取的数据存储于SQLite数据库的不同表中,实现高效的SQL检索。

图片

兼容性与功能特点:

工具支持从Windows 7到Windows 11的个人版本,以及从Server 2008到Server 2016的服务器版本。核心功能包括

1、登录行为分析

  • 详细记录成功/失败登录(事件ID: 4624/4625)
  • 支持SMB、RDP等多种登录类型
  • 完整展示认证协议、进程信息
图片

2、远程桌面连接追踪
  • 全方位记录RDP会话(事件ID: 21/25/1149)
  • 支持横向移动轨迹分析(事件ID: 1024/1102)

图片


3、系统行为监控
  • 服务创建记录
  • 用户账号变更追踪
  • 进程创建监控
  • SQLServer行为分析
  • PowerShell命令记录

    图片

威胁检测与分析:


工具还集成了多项威胁检测功能:

  • 内存字符串检索:快速定位恶意进程
  • 微步云API集成:实现文件威胁评估
  • 文件同步功能:支持企业微信机器人
  • 系统信息收集:覆盖进程、服务、计划任务等


图片

图片

图片

下载链接:

https://github.com/Fheidt12/Windows_Log

请注意:本工具仅供安全研究使用


打赏

本文链接:https://www.kinber.cn/post/4382.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客