windows日志分析工具 - Windows_Log

1、针对常规登录成功、登录失败、RDP登录、用户创建、服务创建等日志进行分析，判断是否存在爆破、是否有代理登录行为；2、针对SQLServer数据库，可分析是否存在爆破，以及开启Xp_cmdshell等记录；3、针对域控主机日志分析，是否存在漏洞利用、密码提取、后门用户等情况，前提为域控主机开启高级策略配置，否则主机不会有日志记录；4、分析主机进程，外联，文件是否存在已知的恶意的文件或者IP；5、分析常用远控软件被控记录，可定位IP和动作；6、目前支持离线分析，若针对win2008和win7版本网络，只能使用离线分析，因为低版本系统无法运行，winserver 2012也建议使用离线分析，另外查看日志信息，高版本 winserver2016 2019 win10 win11 均可以在主机直接进行分析；