日志分析工具logParser的使用

——本文来自阿雷头

LogParser是Windows上一款强大的日志分析软件，对IIS日志分析的效率很高，但是是命令行工作的模式，显示结果可能稍显短板。Log Parser Studio是一款可视化的日志分析工具，刚好弥补了数据显示的短板。

使用log ParserStudio前需要安装log Parser（下载链接在文尾）。本文以一份内网一台主机被入侵，黑客以此机器作为跳板机进行内网渗透的日志作为分析对象。

使用及技巧

1. 打开LPS进入软件的首页，点击“创建新查询任务”按钮。

2. 打开需要进行分析的文件，并在查询条件框内输入要查询的sql语句，选择正确的查询按F5进行查询（如果文件较大的话，打开时间可能会有相应延长）。

技巧：

1. 默认的查询语句查询是日志文件的前10条，显示的内容较少，几乎不可能分析出正确的日志结果。所以我们需要对sql查询语句进行重构，再进行日志的查询分析。最简单的查询语句是将“TOP 10”去掉，结果就是查询日志的所有记录。

2. 查询日志需要考虑以下几个点：时间，IP，事件类型，日志记录，登陆状态等等。刚开始拿到日志文件时，我们可以先对日志总体做一个快速浏览。如下图，由于窗口限制，message的消息显示不全，我们可以适当地对窗口大小进行调整，但是注意不要把包含信息的框调得太小，以免错过重要的信息。当我们进行快速滚屏时我们会发现一些日志总体的情况，方便我们对具体的日志进行分析和事件联想。

3. 以我的经验来看，我一般主要会盯住2个地方，一个是日志记录时间，另一个是日志记录消息，交错进行比较。（LPS的好处在此：如果时间几乎是同时的情况下，时间一栏会基本保持一致，所以我们只需要关注message内容即可）。比如下图，我在滚屏时发现时间一栏是在一个较大的日志记录范围内是相同的，所以我只需要看以下日志消息和记录一下事件类型就可以。然后等一下再对日志进行细节分析。

4. 对日志消息出现一大片“相同”文字的区域进行总体查看。我们可以先看一下日志类型（EventID），然后对照日志记录时间，可以看出这是一个异常“区域”，我们再后期查看分析时要重点关注。

5. 在进行日志文件分析时，我们会遇到一种情况，那就是在一页内显示很多种日志类型和事件消息，我们往往会一时不知道从哪里分析，所以我们需要使用LPS内置强大的sql查询语句，对日志内容进行筛选，分类，以方便我们进行分析。（这需要有一定的sql知识，所以在本文中我只使用一些sql中最常见的语句，不涉及其他复杂的高级语法）。LPS内置强大的排序功能，只需要单击一下每一列的列名就可以对该列的内容进行排序。

6. LPS的显示框显示的内容始终是有限的，像本日志文件的message字段，由于日志记录的内容较多，所以显示的内容是有限的。虽然LPS的显示框可以拉大直到显示所有内容，但是需要必对多个字段内容时就会比较困难，所以LPS的所有显示框都可以进行双击进行显示所有内容。方便我们查看message字段内容。

7. 对时间跨度较大的日志记录进行分析。对时间跨度进行分析后我们可以看到日志记录基本与员工一天正常的休息，年间法定假期休息一致。由此可以判断出中了木马的机器可能是员工的机器（员工电脑一般下班会关机，木马无法执行，故会在日志上留下异常日志断片）。

总结：

1. 在进行日志分析时不仅仅是对当日/当时的日志进行分析，而是要对异常日志前后较大时间跨度的内容进行分析。

2. 对日志进行分析时要从多个方面考虑：时间，异常类型，异常IP等

3. 日志分析顺序：先总体，再局部，

先单一因素，再综合分析

附：

log Parser下载链接：http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

log ParserStudio下载链接：http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765

上次55开的文章其实内容很多，这里附一下原文地址 https://note.youdao.com/share/?id=8ac60abed875ca42692611806081333d&type=note#/

希望55开未来成为真正不开挂的靶机王！ 未来已来！