Windows日志分析工具（GUI版）：让应急响应事半功倍

前言介绍：

应急响应工作中，Windows日志分析占据着重要地位。然而，Windows自带的事件查看器存在诸多局限性：单次只能查看一条日志详情，大量事件ID和日志路径也让非专业人员望而生畏。这些不足严重制约了应急溯源效率。

基于多年Windows应急响应经验，小编找来了一款基于Go语言的日志分析工具。该工具通过调用Windows API获取原始日志，并将XML格式的日志信息映射到专门设计的结构体中。所有提取的数据存储于SQLite数据库的不同表中，实现高效的SQL检索。

兼容性与功能特点：

工具支持从Windows 7到Windows 11的个人版本，以及从Server 2008到Server 2016的服务器版本。核心功能包括

1、登录行为分析

• 详细记录成功/失败登录(事件ID: 4624/4625)
• 支持SMB、RDP等多种登录类型
• 完整展示认证协议、进程信息

2、远程桌面连接追踪

• 全方位记录RDP会话(事件ID: 21/25/1149)
• 支持横向移动轨迹分析(事件ID: 1024/1102)

3、系统行为监控

• 服务创建记录
• 用户账号变更追踪
• 进程创建监控
• SQLServer行为分析
• PowerShell命令记录

威胁检测与分析：

工具还集成了多项威胁检测功能：

• 内存字符串检索：快速定位恶意进程
• 微步云API集成：实现文件威胁评估
• 文件同步功能：支持企业微信机器人
• 系统信息收集：覆盖进程、服务、计划任务等

下载链接：

https://github.com/Fheidt12/Windows_Log

请注意：本工具仅供安全研究使用，使用者需承担相关法律责任。