文件名称:sysmon-queries:使用 microsoft logparser 解析 sysmon 事件日志文件的查询
文件大小:659KB
文件格式:ZIP
更新时间:2024-07-05 06:59:08
系统查询 使用 Microsoft logparser 解析 sysmon 事件日志文件的查询。 Sysmon 事件格式 Sysmon 在 Windows 事件日志查看器中创建事件日志条目,但从列表视图中看不到详细信息。 可以在单个事件详细信息中看到详细信息,但很难过滤 Sysmon 数据的详细信息。 用法 这些查询允许使用 logparser 工具从 sysmon 数据字段中提取各个值。 这会将结果导出为多种格式以供进一步分析。 它们还可以与日志解析器 lizard 一起使用以在 GUI 中查看数据 我创建了不同的查询,因为生成的不同事件 ID 之间的字段不同。 示例查询 ###process-create-terminate 查询合并进程开始(1)和进程终止(5)的记录。 ###process-start-stop-by-user 查询以显示由指定用户登录启动的所有进
【文件预览】:
sysmon-queries-master
----network-connection.txt(872B)
----images()
--------network-connections-ip-list-external.PNG(33KB)
--------imageload-wininet-winsock32.PNG(17KB)
--------process-start-stop-by-user.PNG(114KB)
--------log-lizard-processes.PNG(166KB)
--------file-create-program-count.PNG(19KB)
--------event-list.PNG(86KB)
--------log-parser-cmd.PNG(81KB)
--------create-times.PNG(118KB)
--------event-details.PNG(37KB)
--------file-create-timestomp.PNG(92KB)
----image-load-wininet-winsock32.txt(309B)
----image-load.txt(533B)
----network-socket-count.txt(314B)
----file-create-file-count-no-chrome.txt(267B)
----network-connections-ip-list-external.txt(410B)
----README.md(4KB)
----driver-load.txt(400B)
----file-create-program-count.txt(178B)
----file-create-time.txt(458B)
----network-connection-count.txt(210B)
----file-create-time-backwards.txt(507B)
----process-create-terminate.txt(859B)
----file-create-file-count.txt(229B)
----process-start-stop-by-user.txt(1KB)