论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
云安全
[21543] 2020-12-26_干货windows日志检索和分析
文档创建者:
s7ckTeam
浏览次数:
7
最后更新:
2025-01-18
云安全
7 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-12-26_干货windows日志检索和分析
干
货
|
w
i
n
d
o
w
s
日
志
检
索
和
分
析
江
苏
智
慧
安
全
可
信
L
e
m
o
n
S
e
c
2
0
2
0
-
1
2
-
2
6
前
言
前
言
在
运
维
工
作
过
程
中
,
如
若
w
i
n
d
o
w
s
服
务
器
被
入
侵
,
往
往
需
要
检
索
和
分
析
相
应
的
安
全
日
志
。
除
了
安
全
设
备
,
系
统
自
带
的
日
志
就
是
取
证
的
关
键
材
料
,
但
是
此
类
日
志
数
量
庞
大
,
需
要
高
效
分
析
w
i
n
d
o
w
s
安
全
日
志
,
提
取
出
我
们
想
要
的
有
用
信
息
,
就
显
得
尤
为
关
键
。
本
文
将
介
绍
w
i
n
d
o
w
s
的
日
志
类
型
、
存
放
位
置
、
检
索
方
案
以
及
方
便
检
索
的
工
具
使
用
方
法
。
W
i
n
d
o
w
s
日
志
日
志
在
w
i
n
d
o
w
s
系
统
的
运
行
过
程
中
会
不
断
记
录
日
志
信
息
,
根
据
种
类
可
以
分
为
事
件
日
志
、
I
I
S
日
志
、
F
T
P
日
志
,
数
据
库
日
志
,
邮
件
服
务
日
志
等
。
事
件
日
志
事
件
日
志
W
i
n
d
o
w
s
事
件
日
志
文
件
实
际
上
是
以
特
定
的
数
据
结
构
的
方
式
存
储
内
容
,
其
中
包
括
有
关
系
统
,
安
全
,
应
用
程
序
的
记
录
。
每
个
记
录
事
件
的
数
据
结
构
中
包
含
了
9
个
元
素
(
可
以
理
解
成
数
据
库
中
的
字
段
)
:
日
期
/
时
间
、
事
件
类
型
、
用
户
、
计
算
机
、
事
件
I
D
、
来
源
、
类
别
、
描
述
、
数
据
等
信
息
。
运
维
人
员
可
以
根
据
日
志
取
证
,
了
解
计
算
机
所
发
生
的
具
体
行
为
。
开
始
-
运
行
,
输
入
e
v
e
n
t
v
w
r
.
m
s
c
打
开
事
件
查
看
器
,
查
看
日
志
可
以
看
到
,
事
件
查
看
器
将
日
志
分
成
了
2
大
类
,
w
i
n
d
o
w
s
日
志
、
应
用
程
序
和
服
务
日
志
,
w
i
n
d
o
w
s
日
志
中
又
有
应
用
程
序
、
安
全
、
s
e
t
u
p
、
系
统
、
f
o
r
w
a
r
d
e
d
e
v
e
n
t
这
几
种
事
件
类
型
。
以
下
将
分
别
介
绍
:
事
件
类
型
事
件
类
型
•
应
用
程
序
日
志
包
含
由
应
用
程
序
或
系
统
程
序
记
录
的
事
件
,
主
要
记
录
程
序
运
行
方
面
的
事
件
,
例
如
数
据
库
程
序
可
以
在
应
用
程
序
日
志
中
记
录
文
件
错
误
,
程
序
开
发
人
员
可
以
自
行
决
定
监
视
哪
些
事
件
。
如
果
某
个
应
用
程
序
出
现
崩
溃
情
况
,
那
么
我
们
可
以
从
程
序
事
件
日
志
中
找
到
相
应
的
记
录
,
也
许
会
有
助
于
问
题
的
解
决
。
默
认
位
置
:
•
系
统
日
志
记
录
操
作
系
统
组
件
产
生
的
事
件
,
主
要
包
括
驱
动
程
序
、
系
统
组
件
和
应
用
软
件
的
崩
溃
以
及
数
据
丢
失
错
误
等
。
系
统
日
志
中
记
录
的
时
间
类
型
由
W
i
n
d
o
w
s
N
T
/
2
0
0
0
操
作
系
统
预
先
定
义
。
默
认
位
置
:
•
安
全
日
志
包
含
由
应
用
程
序
或
系
统
程
序
记
录
的
事
件
,
主
要
记
录
程
序
运
行
方
面
的
事
件
,
例
如
数
据
库
程
序
可
以
在
应
用
程
序
日
志
中
记
录
文
件
错
误
,
程
序
开
发
人
员
可
以
自
行
决
定
监
视
哪
些
事
件
。
如
果
某
个
应
用
程
序
出
现
崩
溃
情
况
,
那
么
我
们
可
以
从
程
序
事
件
日
志
中
找
到
相
应
的
记
录
,
也
许
会
有
助
于
你
解
决
问
题
。
默
认
位
置
:
•
转
发
事
件
日
志
用
于
存
储
从
远
程
计
算
机
收
集
的
事
件
。
若
要
从
远
程
计
算
机
收
集
事
件
,
必
须
创
建
事
件
订
阅
。
默
认
位
置
:
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
A
p
p
l
i
c
a
t
i
o
n
.
e
v
t
x
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
S
y
s
t
e
m
.
e
v
t
x
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
A
p
p
l
i
c
a
t
i
o
n
.
e
v
t
x
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
F
o
r
w
a
r
d
e
d
E
v
e
n
t
s
.
e
v
t
x
事
件
级
别
事
件
级
别
在
事
件
日
志
中
有
5
个
事
件
级
别
。
•
信
息
信
息
事
件
指
应
用
程
序
、
驱
动
程
序
或
服
务
的
成
功
操
作
的
事
件
。
•
警
告
警
告
事
件
指
不
是
直
接
的
、
主
要
的
,
但
是
会
导
致
将
来
发
生
问
题
的
事
件
。
例
如
,
当
磁
盘
空
间
不
足
或
未
找
到
打
印
机
时
,
都
会
记
录
一
个
“
警
告
”
事
件
。
•
错
误
错
误
事
件
指
用
户
须
知
道
的
重
要
的
问
题
,
通
常
包
括
功
能
和
数
据
的
丢
失
。
例
如
,
如
果
一
个
服
务
不
能
作
为
系
统
引
导
被
加
载
,
那
么
它
将
会
产
生
一
个
错
误
事
件
。
•
成
功
审
核
成
功
的
审
核
安
全
访
问
尝
试
,
主
要
是
指
安
全
性
日
志
,
这
里
记
录
着
用
户
登
录
/
注
销
、
对
象
访
问
、
特
权
使
用
、
账
户
管
理
、
策
略
更
改
、
详
细
跟
踪
、
目
录
服
务
访
问
、
账
户
登
录
等
事
件
,
例
如
所
有
的
成
功
登
录
系
统
都
会
被
记
录
为
“
成
功
审
核
”
事
件
。
•
失
败
审
核
失
败
的
审
核
安
全
登
录
尝
试
,
例
如
用
户
试
图
访
问
网
络
驱
动
器
失
败
,
则
该
尝
试
会
被
作
为
失
败
审
核
事
件
记
录
下
来
。
事
件
事
件
I
D
W
i
n
d
o
w
s
的
日
志
以
事
件
i
d
来
标
识
具
体
发
生
的
动
作
行
为
,
可
通
过
下
列
网
站
查
询
具
体
i
d
对
应
的
操
作
•
h
t
t
p
s
:
/
/
d
o
c
s
.
m
i
c
r
o
s
o
f
t
.
c
o
m
/
e
n
-
u
s
/
w
i
n
d
o
w
s
/
s
e
c
u
r
i
t
y
/
t
h
r
e
a
t
-
p
r
o
t
e
c
t
i
o
n
/
直
接
搜
索
e
v
e
n
t
+
相
应
的
事
件
i
d
即
可
•
h
t
t
p
s
:
/
/
w
w
w
.
u
l
t
i
m
a
t
e
w
i
n
d
o
w
s
s
e
c
u
r
i
t
y
.
c
o
m
/
s
e
c
u
r
i
t
y
l
o
g
/
e
n
c
y
c
l
o
p
e
d
i
a
/
d
e
f
a
u
l
t
.
a
s
p
x
?
i
=
j
事
件
事
件
I
D
说
明
说
明
1
1
0
2
清
理
审
计
日
志
4
6
2
4
账
号
成
功
登
录
4
6
2
5
账
号
登
录
失
败
4
7
2
0
创
建
用
户
4
7
2
6
删
除
用
户
4
7
3
2
将
成
员
添
加
到
启
用
安
全
的
本
地
组
中
4
7
3
3
将
成
员
从
启
用
安
全
的
本
地
组
中
移
除
每
个
成
功
登
录
的
事
件
都
会
标
记
一
个
登
录
类
型
,
不
同
登
录
类
型
代
表
不
同
的
方
式
,
这
里
就
不
一
一
列
举
了
。
下
面
配
合
一
个
案
例
查
看
日
志
:
在
攻
击
机
器
上
爆
破
目
标
靶
机
的
R
D
P
,
在
靶
机
上
查
看
日
志
信
息
1
.
开
始
-
运
行
,
输
入
e
v
e
n
t
v
w
r
.
m
s
c
2
.
在
事
件
查
看
器
中
,
W
i
n
d
o
w
s
日
志
-
-
>
安
全
,
查
看
系
统
日
志
;
3
.
在
系
统
日
志
右
侧
操
作
中
,
点
击
筛
选
当
前
日
志
,
输
入
事
件
I
D
进
行
筛
选
。
4
.
输
入
事
件
I
D
:
4
6
2
5
进
行
日
志
筛
选
,
发
现
事
件
I
D
:
4
6
2
5
,
事
件
数
2
2
9
,
即
用
户
登
录
失
败
了
2
2
9
次
,
那
么
这
台
服
务
器
管
理
员
账
号
可
能
遭
遇
了
暴
力
猜
解
。
日
志
工
具
日
志
工
具
S
y
s
m
o
n
S
y
s
m
o
n
是
微
软
的
一
款
轻
量
级
的
系
统
监
控
工
具
,
最
开
始
是
由
S
y
s
i
n
t
e
r
n
a
l
s
开
发
的
,
后
来
S
y
s
i
n
t
e
r
n
a
l
s
被
微
软
收
购
,
现
在
属
于
S
y
s
i
n
t
e
r
n
a
l
s
系
列
工
具
。
它
通
过
系
统
服
务
和
驱
动
程
序
实
现
记
录
进
程
创
建
、
文
件
访
问
以
及
网
络
信
息
的
记
录
,
并
把
相
关
的
信
息
写
入
并
展
示
在
w
i
n
d
o
w
s
的
日
志
事
件
里
。
s
y
s
m
o
n
特
点
是
用
完
整
的
命
令
行
记
录
子
进
程
和
父
进
程
的
创
建
行
为
。
使
用
s
h
a
1
(
默
认
)
,
M
D
5
,
S
H
A
2
5
6
或
I
M
P
H
A
S
H
记
录
进
程
镜
像
文
件
的
h
a
s
h
值
。
可
以
同
时
使
用
多
个
h
a
s
h
,
包
括
进
程
创
建
过
程
中
的
进
程
G
U
I
D
。
每
个
事
件
中
包
含
s
e
s
s
i
o
n
的
G
U
I
D
。
下
载
地
址
安
装
安
装
更
新
配
置
文
件
如
果
需
要
卸
载
查
看
日
志
记
录
查
看
日
志
记
录
W
i
n
+
R
,
e
v
e
n
t
v
w
r
.
m
s
c
,
应
用
程
序
和
服
务
日
志
S
y
s
m
o
n
日
志
默
认
保
存
在
,
可
在
事
件
查
看
器
的
日
志
属
性
设
置
保
存
在
远
程
服
务
器
,
或
通
过
其
他
工
具
或
脚
本
保
存
。
l
o
g
p
a
r
s
e
r
l
o
g
p
a
r
s
e
r
是
一
款
w
i
n
d
o
w
s
日
志
分
析
工
具
,
访
问
这
里
下
载
h
t
t
p
s
:
/
/
w
w
w
.
m
i
c
r
o
s
o
f
t
.
c
o
m
/
e
n
-
u
s
/
d
o
w
n
l
o
a
d
/
d
e
t
a
i
l
s
.
a
s
p
x
?
i
d
=
2
4
6
5
9
登
录
成
功
的
所
有
事
件
指
定
登
录
时
间
范
围
的
事
件
h
t
t
p
s
:
/
/
d
o
c
s
.
m
i
c
r
o
s
o
f
t
.
c
o
m
/
e
n
-
u
s
/
s
y
s
i
n
t
e
r
n
a
l
s
/
d
o
w
n
l
o
a
d
s
/
s
y
s
m
o
n
S
y
s
m
o
n
.
e
x
e
-
i
s
y
s
m
o
n
.
e
x
e
-
c
s
y
s
m
o
n
c
o
n
f
i
g
-
e
x
p
o
r
t
.
x
m
l
s
y
s
m
o
n
.
e
x
e
-
u
/
M
i
c
r
o
s
o
f
/
W
i
n
d
o
w
s
/
S
y
s
m
o
n
/
O
p
e
r
a
t
i
o
n
a
l
%
S
y
s
t
e
m
R
o
o
t
%
S
y
s
t
e
m
3
2
W
i
n
e
v
t
L
o
g
s
M
i
c
r
o
s
o
f
t
-
W
i
n
d
o
w
s
-
S
y
s
m
o
n
%
4
O
p
e
r
a
t
i
o
n
a
l
.
e
v
t
x
L
o
g
P
a
r
s
e
r
.
e
x
e
-
i
:
E
V
T
–
o
:
D
A
T
A
G
R
I
D
"
S
E
L
E
C
T
*
F
R
O
M
c
:
S
e
c
u
r
i
t
y
.
e
v
t
x
w
h
e
r
e
E
v
e
n
t
I
D
=
4
6
2
4
"
L
o
g
P
a
r
s
e
r
.
e
x
e
-
i
:
E
V
T
–
o
:
D
A
T
A
G
R
I
D
"
S
E
L
E
C
T
*
F
R
O
M
c
:
S
e
c
u
r
i
t
y
.
e
v
t
x
w
h
e
r
e
T
i
m
e
G
e
n
e
r
a
t
e
d
>
'
2
0
1
8
-
0
6
-
1
9
2
3
:
3
2
:
1
1
'
a
n
d
T
i
m
e
G
e
n
e
r
a
t
e
d
<
'
2
0
1
8
-
0
6
-
2
0
2
3
:
3
4
:
0
0
'
a
n
d
提
取
登
录
成
功
的
用
户
名
和
I
P
登
录
失
败
的
所
有
事
件
提
取
登
录
失
败
用
户
名
进
行
聚
合
统
计
系
统
历
史
开
关
机
记
录
总
结
总
结
本
文
介
绍
了
w
i
n
d
o
w
s
的
日
志
类
型
,
事
件
日
志
的
类
型
、
级
别
、
存
放
位
置
和
I
D
,
日
志
的
检
索
方
案
以
及
检
索
工
具
s
y
s
m
o
n
和
l
o
g
p
a
r
s
e
r
的
使
用
。
对
于
蓝
队
来
说
,
应
急
和
取
证
溯
源
离
不
开
日
志
,
因
此
定
时
的
日
志
备
份
非
常
重
要
。
作
者
:
江
苏
智
慧
安
全
可
信
技
术
研
究
院
一
如
既
往
的
学
习
,
一
如
既
往
的
整
理
,
一
如
即
往
的
分
享
。
感
谢
支
持
E
v
e
n
t
I
D
=
4
6
2
4
"
L
o
g
P
a
r
s
e
r
.
e
x
e
-
i
:
E
V
T
–
o
:
D
A
T
A
G
R
I
D
"
S
E
L
E
C
T
E
X
T
R
A
C
T
_
T
O
K
E
N
(
M
e
s
s
a
g
e
,
1
3
,
'
'
)
a
s
E
v
e
n
t
T
y
p
e
,
T
i
m
e
G
e
n
e
r
a
t
e
d
a
s
L
o
g
i
n
T
i
m
e
,
E
X
T
R
A
C
T
_
T
O
K
E
N
(
S
t
r
i
n
g
s
,
5
,
'
|
'
)
a
s
U
s
e
r
n
a
m
e
,
E
X
T
R
A
C
T
_
T
O
K
E
N
(
M
e
s
s
a
g
e
,
3
8
,
'
'
)
a
s
L
o
g
i
n
i
p
F
R
O
M
c
:
S
e
c
u
r
i
t
y
.
e
v
t
x
w
h
e
r
e
E
v
e
n
t
I
D
=
4
6
2
4
"
L
o
g
P
a
r
s
e
r
.
e
x
e
-
i
:
E
V
T
–
o
:
D
A
T
A
G
R
I
D
"
S
E
L
E
C
T
*
F
R
O
M
c
:
S
e
c
u
r
i
t
y
.
e
v
t
x
w
h
e
r
e
E
v
e
n
t
I
D
=
4
6
2
5
"
L
o
g
P
a
r
s
e
r
.
e
x
e
-
i
:
E
V
T
"
S
E
L
E
C
T
E
X
T
R
A
C
T
_
T
O
K
E
N
(
M
e
s
s
a
g
e
,
1
3
,
'
'
)
a
s
E
v
e
n
t
T
y
p
e
,
E
X
T
R
A
C
T
_
T
O
K
E
N
(
M
e
s
s
a
g
e
,
1
9
,
'
'
)
a
s
u
s
e
r
,
c
o
u
n
t
(
E
X
T
R
A
C
T
_
T
O
K
E
N
(
M
e
s
s
a
g
e
,
1
9
,
'
'
)
)
a
s
T
i
m
e
s
,
E
X
T
R
A
C
T
_
T
O
K
E
N
(
M
e
s
s
a
g
e
,
3
9
,
'
'
)
a
s
L
o
g
i
n
i
p
F
R
O
M
c
:
S
e
c
u
r
i
t
y
.
e
v
t
x
w
h
e
r
e
E
v
e
n
t
I
D
=
4
6
2
5
G
R
O
U
P
B
Y
M
e
s
s
a
g
e
”
L
o
g
P
a
r
s
e
r
.
e
x
e
-
i
:
E
V
T
–
o
:
D
A
T
A
G
R
I
D
"
S
E
L
E
C
T
T
i
m
e
G
e
n
e
r
a
t
e
d
,
E
v
e
n
t
I
D
,
M
e
s
s
a
g
e
F
R
O
M
c
:
S
y
s
t
e
m
.
e
v
t
x
w
h
e
r
e
E
v
e
n
t
I
D
=
6
0
0
5
o
r
E
v
e
n
t
I
D
=
6
0
0
6
"
“
如
侵
权
请
私
聊
公
众
号
删
文
”
扫
描
关
注
扫
描
关
注
L
e
m
o
n
S
e
c
觉
得
不
错
点
个
觉
得
不
错
点
个
“
赞
赞
”
、
、
“
在
看
在
看
”
哦
哦
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
云安全