论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
Web安全
[16313] 2021-01-13_Windows主机日志分析办法与思路
文档创建者:
s7ckTeam
浏览次数:
1
最后更新:
2025-01-18
Web安全
1 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-56
6万
主题
-6万
回帖
-56
积分
管理员
积分
-56
发消息
2021-01-13_Windows主机日志分析办法与思路
W
i
n
d
o
w
s
主
机
日
志
分
析
办
法
与
思
路
原
创
白
衣
不
再
少
年
F
r
e
e
B
u
f
2
0
2
1
-
0
1
-
1
3
看
到
有
人
问
,
w
i
n
d
o
w
s
主
机
日
志
怎
么
做
分
析
,
今
天
就
分
享
一
篇
文
章
专
门
来
说
说
w
i
n
d
o
w
s
主
机
日
志
分
析
。
以
下
所
有
内
容
皆
属
于
个
人
以
往
工
作
经
验
总
结
出
来
的
,
不
是
什
么
权
威
的
行
业
标
准
,
纯
属
个
人
理
解
,
仅
供
参
考
使
用
。
在
做
日
志
分
析
前
,
首
先
我
们
针
对
此
项
工
作
需
要
有
一
个
清
晰
的
思
路
:
查
看
哪
些
主
机
的
日
志
(
筛
选
对
象
)
—
—
>
在
哪
里
查
看
(
取
样
)
—
—
>
怎
么
查
看
(
研
判
分
析
)
—
—
>
做
好
记
录
、
保
留
关
键
截
图
—
—
>
上
报
并
处
置
事
件
闭
环
。
1
、
筛
选
分
析
主
机
资
产
、
筛
选
分
析
主
机
资
产
筛
选
原
理
和
上
篇
文
章
《
《
W
i
n
d
o
w
s
主
机
入
侵
痕
迹
排
查
办
法
》
主
机
入
侵
痕
迹
排
查
办
法
》
中
的
“
初
步
筛
选
排
查
资
产
初
步
筛
选
排
查
资
产
”
部
分
内
容
一
样
,
不
可
能
在
短
时
间
内
客
户
的
所
有
区
域
所
有
主
机
资
产
我
们
都
要
一
一
去
查
看
和
分
析
,
我
们
最
需
要
的
是
找
出
重
点
难
点
,
针
对
有
问
题
的
或
者
容
易
出
问
题
的
比
较
重
要
的
主
机
资
产
进
行
重
点
关
照
。
2
、
采
集
日
志
样
本
、
采
集
日
志
样
本
先
补
充
几
个
前
提
条
件
:
①
W
i
n
d
o
w
s
服
务
器
系
统
的
审
核
功
能
必
须
是
启
用
的
,
并
且
配
置
好
审
计
策
略
的
,
一
旦
系
统
出
现
故
障
、
安
全
事
故
才
可
以
查
看
得
到
系
统
的
日
志
文
件
,
有
助
于
排
除
故
障
,
追
查
入
侵
者
的
信
息
等
。
②
日
志
还
得
提
前
做
好
定
期
备
份
,
最
好
是
全
量
异
地
备
份
,
往
往
入
侵
者
也
不
是
傻
子
,
一
般
会
“
毁
尸
灭
迹
”
或
者
更
高
明
的
“
移
花
接
木
”
篡
改
日
志
内
容
。
(
这
个
时
候
可
以
给
客
户
说
说
日
志
的
重
要
性
以
及
进
行
保
护
的
必
要
性
了
)
③
做
好
日
志
文
件
的
访
问
控
制
,
限
制
权
限
,
尽
最
大
化
的
防
护
手
段
避
免
出
现
日
志
被
删
除
和
被
篡
改
的
风
险
。
越
是
充
分
满
足
以
上
的
条
件
,
后
续
分
析
的
结
果
才
会
越
具
备
科
学
性
、
真
实
性
、
不
可
抵
赖
性
。
本
次
选
取
的
主
机
服
务
器
版
本
是
w
i
n
d
o
w
s
s
e
r
v
e
r
2
0
0
8
R
2
打
开
日
志
:
开
始
—
→
管
理
工
具
—
→
事
件
查
看
器
一
般
我
们
主
要
查
看
的
三
类
日
志
是
:
应
用
程
序
日
志
、
安
全
日
志
、
系
统
日
志
应
用
程
序
日
志
:
包
含
由
应
用
程
序
或
系
统
程
序
记
录
的
事
件
,
主
要
记
录
程
序
运
行
方
面
的
事
件
,
默
认
存
放
路
径
:
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
A
p
p
l
i
c
a
t
i
o
n
.
e
v
t
x
。
(
另
外
插
一
句
,
一
般
做
等
保
检
查
里
的
主
机
层
面
检
查
,
有
专
门
的
检
查
项
就
是
来
查
看
日
志
的
,
就
是
看
这
里
的
内
容
)
安
全
日
志
:
记
录
系
统
的
安
全
审
计
事
件
,
包
含
各
种
类
型
的
登
录
日
志
、
对
象
访
问
日
志
、
进
程
追
踪
日
志
、
特
权
使
用
、
帐
号
管
理
、
策
略
变
更
、
系
统
事
件
。
这
个
日
志
一
般
是
安
全
工
程
师
重
点
关
注
对
象
。
默
认
存
放
路
径
:
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
S
e
c
u
r
i
t
y
.
e
v
t
x
系
统
日
志
:
记
录
操
作
系
统
组
件
产
生
的
事
件
,
主
要
包
括
驱
动
程
序
、
系
统
组
件
和
应
用
软
件
的
崩
溃
以
及
数
据
丢
失
错
误
等
。
默
认
存
放
路
径
:
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
S
y
s
t
e
m
.
e
v
t
x
了
解
完
这
些
信
息
后
,
我
们
可
以
将
需
要
用
的
日
志
进
行
采
集
了
,
采
集
日
志
也
有
个
好
处
,
那
就
是
相
当
于
又
多
了
一
份
备
份
,
不
必
一
直
远
程
登
录
客
户
的
主
机
服
务
器
。
采
集
完
后
,
我
们
接
下
来
的
主
要
工
作
就
是
分
析
日
志
了
。
3
、
日
志
分
析
、
日
志
分
析
此
时
,
我
们
还
需
要
知
道
最
常
见
的
事
件
i
d
:
4
6
2
4
—
成
功
登
录
4
6
2
5
—
失
败
的
登
录
4
6
3
4
/
4
6
4
7
—
成
功
注
销
4
6
4
8
—
使
用
显
式
(
e
x
p
l
i
c
i
t
)
凭
证
登
录
(
R
u
n
A
s
)
4
6
7
2
—
用
户
使
用
超
级
用
户
权
限
的
登
录
(
A
d
m
i
n
i
s
t
r
a
t
o
r
)
4
7
2
0
—
账
户
创
建
若
想
了
解
更
多
,
可
以
自
行
网
上
去
下
载
一
个
w
i
n
d
o
w
s
事
件
i
d
及
解
释
大
全
。
查
看
日
志
的
重
点
内
容
如
下
:
①
查
看
登
录
日
志
中
暴
力
破
解
痕
迹
;
②
查
看
账
号
管
理
日
志
中
账
号
的
新
增
、
修
改
痕
迹
;
③
查
看
远
程
桌
面
登
录
日
志
中
的
登
录
痕
迹
。
3
.
1
*
*
暴
力
破
解
账
密
日
志
暴
力
破
解
账
密
日
志
*
*
案
例
一
:
正
常
事
件
攻
击
者
通
过
暴
力
破
解
的
方
式
入
侵
系
统
,
不
论
是
否
成
功
,
在
日
志
中
会
留
下
入
侵
痕
迹
,
所
以
事
件
i
d
为
4
6
2
4
和
4
6
2
5
的
事
件
是
首
当
其
冲
的
关
注
点
。
需
要
留
意
日
志
中
的
S
u
b
j
e
c
t
U
s
e
r
N
a
m
e
I
p
A
d
d
r
e
s
s
。
如
图
所
示
:
登
录
事
件
总
计
为
1
1
9
6
8
次
,
这
个
次
数
这
么
多
是
因
为
上
面
筛
选
时
没
有
选
择
具
体
哪
一
天
哪
一
个
时
间
段
。
若
是
大
量
的
失
败
登
录
,
绝
对
可
疑
,
但
真
实
情
况
是
大
量
成
功
,
且
i
p
为
内
网
信
任
i
p
,
登
录
者
信
息
其
实
也
在
其
中
,
也
是
内
部
人
员
,
登
录
时
间
也
是
正
常
时
间
段
,
找
到
该
人
员
核
对
一
下
,
基
本
可
以
判
断
为
正
常
事
件
。
案
例
二
:
入
侵
事
件
发
现
连
续
三
条
日
志
,
由
登
录
失
败
到
成
功
,
W
o
r
k
s
t
a
t
i
o
n
N
a
m
e
均
来
自
名
为
k
a
l
i
的
主
机
,
并
且
最
终
记
录
下
k
a
l
i
的
I
P
地
址
为
1
9
2
.
1
6
8
.
7
4
.
1
2
9
。
这
个
过
程
可
以
判
断
攻
击
者
通
过
1
9
2
.
1
6
8
.
7
4
.
1
2
9
的
主
机
暴
力
破
解
成
功
a
d
m
i
n
i
s
t
r
a
t
o
r
的
密
码
,
此
处
即
为
暴
破
留
下
的
痕
迹
。
3
.
2
账
号
管
理
账
号
管
理
*
*
日
志
日
志
*
*
W
i
n
d
o
w
s
中
日
志
中
与
账
号
创
建
有
关
的
事
件
I
D
:
4
7
2
0
,
4
7
2
2
,
4
7
2
4
,
4
7
3
8
。
攻
击
者
攻
陷
一
台
W
i
n
d
o
w
s
主
机
后
,
可
能
会
创
建
后
门
账
号
、
隐
藏
账
号
。
案
例
一
:
正
常
情
况
可
以
看
到
,
最
近
7
天
内
没
有
新
增
的
账
号
事
件
,
比
较
安
全
。
案
例
二
:
新
增
a
a
a
a
$
后
门
账
号
发
现
攻
击
者
创
建
了
后
门
账
号
。
据
此
时
间
点
可
确
定
在
这
之
前
使
用
某
手
段
或
利
用
某
漏
洞
获
取
了
服
务
器
权
限
,
可
进
一
步
在
其
他
安
全
设
备
上
查
找
该
时
间
点
前
针
对
失
陷
服
务
器
的
攻
击
告
警
事
件
确
定
攻
击
方
式
。
3
.
3
*
*
远
程
桌
面
登
录
日
志
远
程
桌
面
登
录
日
志
*
*
上
述
的
安
全
日
志
很
可
能
被
覆
盖
掉
,
为
尽
量
不
遗
漏
入
侵
痕
迹
,
可
进
一
步
查
看
远
程
桌
面
的
登
录
日
志
。
攻
击
者
建
立
后
门
账
号
后
会
通
过
远
程
桌
面
连
接
到
失
陷
主
机
上
,
此
时
的
登
录
行
为
会
记
录
到
远
程
桌
面
日
志
。
远
程
连
接
日
志
(
应
用
程
序
和
服
务
日
志
-
>
M
i
c
r
o
s
o
f
t
-
>
W
i
n
d
o
w
s
-
>
-
T
e
r
m
i
n
a
l
S
e
r
v
i
c
e
s
-
>
R
e
m
o
t
e
C
o
n
n
e
c
t
i
o
n
M
a
n
a
g
e
r
-
>
O
p
e
r
a
t
i
o
n
a
l
)
,
重
要
事
件
I
D
和
含
义
:
1
1
4
9
:
用
户
认
证
成
功
2
1
:
远
程
桌
面
服
务
:
会
话
登
录
成
功
2
4
:
远
程
桌
面
服
务
:
会
话
已
断
开
连
接
2
5
:
远
程
桌
面
服
务
:
会
话
重
新
连
接
成
功
因
此
我
们
可
以
看
看
应
用
程
序
日
志
里
事
件
i
d
为
1
1
4
9
:
如
图
所
示
,
此
处
没
有
发
现
远
程
连
接
情
况
,
情
况
正
常
。
完
成
上
述
几
个
分
析
动
作
,
基
本
可
以
发
现
很
多
入
侵
痕
迹
,
后
续
的
截
图
记
录
以
及
写
分
析
报
告
、
上
报
等
工
作
此
次
就
不
再
一
一
赘
述
了
。
再
推
荐
一
款
比
较
好
用
的
w
i
n
d
o
w
s
日
志
分
析
工
具
:
L
o
g
P
a
r
s
e
r
L
i
z
a
r
d
,
其
特
点
是
比
较
易
于
使
用
,
不
需
要
记
忆
繁
琐
的
命
令
,
只
需
要
做
好
设
置
,
写
好
基
本
的
S
Q
L
语
句
,
就
可
以
直
观
的
得
到
结
果
,
网
上
使
用
教
程
一
大
把
。
下
载
地
址
:
h
t
t
p
:
/
/
w
w
w
.
l
i
z
a
r
d
-
l
a
b
s
.
c
o
m
/
l
o
g
_
p
a
r
s
e
r
_
l
i
z
a
r
d
.
a
s
p
x
(
为
何
不
早
就
拿
出
来
说
,
因
为
不
懂
分
析
原
理
和
思
路
,
给
了
工
具
也
枉
然
)
写
在
最
后
写
在
最
后
有
很
多
知
识
是
需
要
长
时
间
的
积
累
的
,
做
一
件
事
之
前
,
想
清
楚
思
路
,
做
什
么
,
为
什
么
做
,
怎
么
做
。
后
续
还
会
抽
时
间
写
l
i
n
u
x
入
侵
痕
迹
排
查
以
及
l
i
n
u
x
日
志
分
析
。
精
彩
推
荐
精
彩
推
荐
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
Web安全