--------------------------- Logparser日志分析工具改良版 -------------------------------
- 注意:此脚本需将C:\Windows\System32\winevt\Logs复制到C盘跟目录下使用,文件名logs(大小写不敏感)
- 必须以系统管理员身份运行,若输入数字后没有弹出表格则代表当前服务器没有对应日志
- 第一次查询完成后,按回车可进行第二次查询
1: 查看所有登陆成功日志
2: 查看所有IP登陆失败日志
3: 查看RDP登陆成功日志(当前主机被谁登陆过)
4: 查看RDP连接记录(当前主机连过哪些机器)
5: 用户创建记录
6: 用户权限修改记录(用户是否有添加管理组)
7: 密码修改记录(目前不支持查看机器账号修改记录)
8: SQLServer数据库登陆失败记录
9: SQLServer数据库配置修改(主要查看xp_cmdshell开启记录)
10: 按照登录失败用户的次数进行排序
11: 查询指定IP的登陆失败的 用户名、登陆时间、方式、登陆IP、所用端口
12: 查询指定IP的登陆成功的 用户名、登陆时间、方式、登陆IP、所用端口
13: 查看程序安装记录(主要查看todesk、向日葵、processhacker等程序安装、ms17_010攻击、后门服务等记录)
14: Powershell执行记录
15: 登陆类型查看表
16: 登陆失败原因表