前言

很多时候当机器出现问题了，管理员才会发现服务器或者普通用户的电脑被黑客攻击了。作者因为平时需要远程许多用户，看很多日志， 所以写了一个简单的日志分析工具，希望能帮到一些不怎么懂如何看日志的人。（这个主要想写个不懂技术的人看的，所以写的特别的详细。不要喷，只是为了我自己以后方便。不用每次都给别人讲解很多次，真的太繁琐，不仅浪费时间，用户也很恼火，所以每个步骤都非常详细，觉得不够详细的地方可以留言，后面我再补充。懂技术的可以直接跳着看重点。）

目标：

通过对windows系统日志进行分析，快速定位系统在什么时间被黑客登录过！很多种勒索病毒的，就是因为被黑客拿到了远程桌面密码。

正文

工具下载

这个工具主要是通过解析logparser查询出来的数据，所以第一步就是去微软官方下载一个logparser日志查看工具。安装就是直接全部下一步就可以了。其中有一个选择模式，两个都可以。随意选。

下载地址：Download Log Parser 2.2 from Official Microsoft Download Center

https://www.microsoft.com/en-us/download/details.aspx?id=24659

下载好后需要将它的路径设置到系统变量中：

设置系统变量：

• 找到你安装logparser的目录，例如我的(若知道如何设置环境变量可直接跳到提取系统日志)

• 添加环境变量

win 7 系统添加环境变量：因为两个路径之间需要分割开来，所以最后填写进去的是“;C:\Program Files (x86)\Log Parser 2.2”

Win 10添加环境变量

提取系统日志

方法一：这边提供了一个工具，运行evtx0x64或者evtx0x86文件夹下的evtx.exe，记得用管理员权限运行程序。

下载地址：

链接：pan.baidu.com/s/15JZuO0

提取码：hda2

备注：

• 查看系统版本

需要运行的程序：

不要单独将evtx.exe复制出来运行！

不要单独将evtx.exe复制出来运行！

不要单独将evtx.exe复制出来运行！

方法二：C:\Windows\System32\winevt\Logs目录下提取出以下文件

• Security.evtx

• Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx

• Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx

方法三：win+r输入eventvwr ，点开windows日志下面的安全，然后点击右键里面的将事件另存为。导出日志。导出的文件是evtx格式。另外两个日志是存在于应用程序和服务日志文件夹下。Microsoft-Windows-TerminalServices-LocalSessionManager这个为对应路径。Operational.evtx为需要导出的日志。

解析日志

我提供解析日志工具：

链接：pan.baidu.com/s/1djm7_c

提取码：evtx

每次提取出来的日志，放到logon下的data里面(之前的日志需要全部删除)

然后运行bin里面的Run.bat程序即可。

主要关注以下两个日志即可。

解析出来的效果。这个可以用记事本打开的，安装有office的也可以打开。