Log Parser日志分析工具简单解读

2023-11-22 17:44:43 1798

下载Log Parser

https://www.landui.com/en-us/download/details.aspx?id=24659

 

Log Parser的日志可以通过SQL进行查询。

 

1.sql字段

1.png

S表示String数组

调用格式:

EXTRACT_TOKEN(EventTypeName, 0, ' ') )

EventTypeName:字段名

0:顺序,从0开始

“|”:分隔符

T:Time。时间类

I:intger。整数类

T和I二者都是直接调用:

SELECT TO_DATE(TimeGenerated), TO_UPPERCASE( EXTRACT_TOKEN(EventTypeName, 0, ' ') ), SourceName FROM System

 

TimeGenerated

 

2.字段解释

RecordNumber:日志记录编号从0开始

TimeGenerated:事件生成时间

TimeWritten:事件记录时间

EventID:事件ID

2.png


EventType:事件类型

3.png


String

各个位置含义:

0安全IP(SID)        1账号名称         2账户域         3登录ID         4安全ID        5账户名         6账户域        7登录ID        8登录类型        9登录进程        10身份验证数据包         11网络账户名称        12账号GUID        13网络账户域        14数据包名        15密钥长度         16进程ID        17进程路径        18源网络地址        19源端口        20模拟级别         21        22        23         24 虚拟账户        25         26 提升的令牌

 

EventLog

各个位置含义:

0 文件绝对路径 

 

EventTypeName

各个位置含义:

0 审核成功/审核失败

 

SourceName:来源

各个位置含义:

0:来源位置

 

eg:Microsoft-Windows-Security-Auditing

 

SID:查看结果为全空

4.png

Message:消息

各个位置含义:

0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote compute

 

Data:全空

 

ComputerName:计算机名称

0 WIN-L5ST0VQ25FA  

计算机名称

 

EventCategoryName

0 The name for category 12544 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer

 

主要字段为:TimeGenerated:事件生成时间         EventID:事件ID        EventType:事件类型        String:         EventLog        ComputerName:计算机名称

 

提交成功!非常感谢您的反馈,我们会继续努力做到更好!

这条文档是否有帮助解决问题?

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: