gpt4 book ai didi

python - 解析 Evtx 文件特定内容的最有效方法

转载 作者:太空宇宙 更新时间:2023-11-03 15:42:30 28 4
gpt4 key购买 nike

我有数百个 Evtx 安全事件日志,我想根据事件 ID 解析特定事件 ID (4624) 和用户名 (joe)。我尝试使用 Powershell cmdlet,如下所示:

get-winevent -filterhashtable @{Path="mypath.evtx"; providername="securitystuffprovider"; id=4624} 

我知道我可以将包含列表的变量传递给所有 evtx 文件的 Path 参数,但我无法根据 EVTX 消息的子集进行过滤。此外,解析一个 Evtx 文件需要非常长的时间,远少于 150 个左右。我知道有一个 python 包可以解析 Evtx,但我不确定它看起来如何,因为 python-evtx 解析器没有提供导入和使用包本身的很好的示例。我无法将所有数据提取到 csv 中,因为这会占用太多磁盘空间。任何关于如何的想法都会很棒。谢谢。

最佳答案

-Path-FilterXPath 参数结合使用,然后使用 XPath 表达式进行过滤,如下所示:

$Username = 'jdoe'
$XPathFilter = "*[System[(EventID=4624)] and EventData[Data[@Name='SubjectUserName'] and (Data='$Username')]]"

Get-WinEvent -Path C:\path\to\log\files\*.evtx -FilterXPath $XPathFilter

关于python - 解析 Evtx 文件特定内容的最有效方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42010398/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com