日志分析-windows系统日志分析
使用事件查看器分析Windows系统日志
cmd命令 eventvwr
筛选
清除日志、注销并重新登陆,查看日志情况
Windows7和Windowserver2008R2的主机日志保存在C:\Windows\System32\winevt\Logs文件夹下,Security.evtx即为Windows安全节点下安全日志,双击即可使用事件查看器打开并进行查看
使用LogParser分析Windows日志
将安全日志导出为csv文件
LogParser.exe “SELECT * INTO SecurityEvents.csv FROM Security” -i:EVT
