mp;wxfrom=14&tp=wxpic"); background-position: center bottom; background-size: 100%; background-repeat: no-repeat; background-attachment: initial; background-origin: initial; background-clip: initial;" data-lazy-bgimg="https://mmbiz.qpic.cn/mmbiz_png/oMlX8Lll9Jjj0LWXMVqXSQMQ6dtdfbYlicCbehR5ZkG0A1JhNg4Y5nD4OiaTbX6QKQYbuicarM8t4dZFVQ5JSl5KA/640?wx_fmt=png" class="" data-sec-load-status="2">应急响应工作中,Windows日志分析占据着重要地位。然而,Windows自带的事件查看器存在诸多局限性:单次只能查看一条日志详情,大量事件ID和日志路径也让非专业人员望而生畏。这些不足严重制约了应急溯源效率。基于多年Windows应急响应经验,小编找来了一款基于Go语言的日志分析工具。该工具通过调用Windows API获取原始日志,并将XML格式的日志信息映射到专门设计的结构体中。所有提取的数据存储于SQLite数据库的不同表中,实现高效的SQL检索。
工具支持从Windows 7到Windows 11的个人版本,以及从Server 2008到Server 2016的服务器版本。核心功能包括
1、登录行为分析- 详细记录成功/失败登录(事件ID: 4624/4625)
- 全方位记录RDP会话(事件ID: 21/25/1149)
- 支持横向移动轨迹分析(事件ID: 1024/1102)
https://github.com/Fheidt12/Windows_Log
请注意:本工具仅供安全研究使用
打赏
支付宝微信扫一扫,打赏作者吧~
本文链接:https://www.kinber.cn/post/4382.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
