咨询热线:4006-75-4006
售前:9:00-23:30 备案:9:00-18:00 技术:7*24h
下载Log Parser
https://www.landui.com/en-us/download/details.aspx?id=24659
Log Parser的日志可以通过SQL进行查询。
1.sql字段
S表示String数组
调用格式:
EXTRACT_TOKEN(EventTypeName, 0, ' ') )
EventTypeName:字段名
0:顺序,从0开始
“|”:分隔符
T:Time。时间类
I:intger。整数类
T和I二者都是直接调用:
SELECT TO_DATE(TimeGenerated), TO_UPPERCASE( EXTRACT_TOKEN(EventTypeName, 0, ' ') ), SourceName FROM System
TimeGenerated
2.字段解释
RecordNumber:日志记录编号从0开始
TimeGenerated:事件生成时间
TimeWritten:事件记录时间
EventID:事件ID
EventType:事件类型
String:
各个位置含义:
0安全IP(SID) 1账号名称 2账户域 3登录ID 4安全ID 5账户名 6账户域 7登录ID 8登录类型 9登录进程 10身份验证数据包 11网络账户名称 12账号GUID 13网络账户域 14数据包名 15密钥长度 16进程ID 17进程路径 18源网络地址 19源端口 20模拟级别 21 22 23 24 虚拟账户 25 26 提升的令牌
EventLog:
各个位置含义:
0 文件绝对路径
EventTypeName:
各个位置含义:
0 审核成功/审核失败
SourceName:来源
各个位置含义:
0:来源位置
eg:Microsoft-Windows-Security-Auditing
SID:查看结果为全空
Message:消息
各个位置含义:
0 The description for Event ID 4625 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote compute
Data:全空
ComputerName:计算机名称
0 WIN-L5ST0VQ25FA
计算机名称
EventCategoryName
0 The name for category 12544 in Source "Microsoft-Windows-Security-Auditing" cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer
主要字段为:TimeGenerated:事件生成时间 EventID:事件ID EventType:事件类型 String: EventLog ComputerName:计算机名称