应急响应工具 - window日志分析工具

最新推荐文章于 2025-06-07 10:36:47 发布
最新推荐文章于 2025-06-07 10:36:47 发布
阅读量1.5k 收藏 9
点赞数 30
CC 4.0 BY-SA版权
分类专栏: web安全 网络安全 安全架构 文章标签: 安全 struts java 网络 log4j python php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hacker_j1/article/details/140518372

01 项目地址

https://www.nirsoft.net/utils/full_event_log_view.html

02 项目介绍

FullEventLogView 是一个适用于 Windows 11/10/8/7/Vista 的简单工具,它以表格形式显示 Windows 事件日志中的所有事件的详细信息,包括事件描述。它允许您查看本地计算机的事件、网络上远程计算机的事件以及 .evtx 文件中存储的事件。它还允许您从 GUI 和命令行将事件列表导出到 text/csv/tab-delimited/html/xml 文件。

系统要求:该实用程序适用于任何版本的 Windows,从 Windows Vista 到 Windows 11。同时支持 32 位和 64 位系统。对于 Windows XP 及更早版本的系统,您可以使用MyEventViewer 工具。

03 实测效果

实测有效:

注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法

最低0.47元/天 解锁文章

200万优质内容无限畅学
日志分析工具-应急响应实战笔记
jihaichen的博客
10-23 1096
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、 CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句 一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
Windows应急响应靶机 - Web2
qq_48904485的博客
06-21 1793
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的IP地址(两个)?2.攻击者的webshell文件名?3.攻击者的webshell密码?4.攻击者的伪QQ号?5.攻击者的伪服务器IP地址?6.攻击者的服务器端口?7.攻击者是如何入侵的(选择题)?8.攻击者的隐藏用户名?用户:administrator密码:[email protected]
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2890
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Windows事件日志分析工具介绍,零基础入门到精通,收藏这一篇就够了
最新发布
Button12138的博客
06-07 930
6、连接其他计算机事件查看器不仅可以显示本地计算机的日志,还可以配置为收集来自网络中其他计算机的日志。7、日志事件导出右键点击你想要导出的日志或在右侧菜单栏,选择“将所有事件另存为”,然后选择保存路径和文件格式,即可完成导出。03命令行工具 (wevtutil)1、打开命令行窗口按下Win + R键,打开“运行”对话框。输入cmd,点击确定或回车。2、基本命令获取wevtutil的帮助信息wevtutil /?3、使用案例参考041、打开PowerShell按下Win + R键,打开“运行”对话框。
路由器后面再接一个路由器怎么设置(二级路由)
weixin_34032792的博客
12-23 4840
路由器后面再接一个路由器怎么设置(二级路由) 总结: 这种设置方法二级路由是在同一个vlan里面的,也就是在同一个局域网里面。   我们在日常上网中有时会遇到这样的问题:A房间有一无线路由器,B房间到A房间有七八十米,我们要在B房间再用手机上无线网的时候信号可能就不好了,中间又有墙,哪么应该怎么办呢?呵呵,其实很简单在B屋加个无线路由用网线接到A就可以了,其实路由后再接路由...
AWVS最新版v24.5.14中文坡解版附详细下载安装教程
logic1001的博客
09-13 6644
Acunetix 高级版 v24.4 提供了一套全面、高效且易于集成的 Web 应用程序安全测试解决方案,适用于日常发现 Web 应用程序的安全性。获取方式:后台回复【AWVS】获取下载链接。
应急响应-日志分析工具
wuqingsix的博客
02-16 863
1、Web - 360星图(IIS/Apache/Nginx)--缺点:支持较少。4、Web -机器语言(任何自定义日志格式字符串)--- 不提示相关安全问题。2、Web - GoAccess(任何自定义日志格式字符串)并自动打包,将收集的文件上传观星平台即可自动分析。3、Web - 自写脚本(任何自定义日志格式字符串)稍微好。4、大型日志分析项目 :elK(见后续)
应急响应日志分析工具
剁椒鱼头没剁椒的博客
11-02 1890
在网上当然还是有很多的日志分析,但是多数都是针对流量的日志分析,很少是针对安全的分析,同时现阶段的安全日志分析工具要不是去购买厂商的技术,要不就是单项的分析,例如360星图,很少有开源的综合性分析的。
Windows应急响应靶机 - Web3
qq_48904485的博客
06-27 1436
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
Windows应急响应靶机 - Web1
qq_48904485的博客
06-20 1146
应急响应靶机训练-Web1前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码。
Windows应急响应-排查方式
网络空间安全学习
08-05 2280
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
03-02
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
DIIRC重磅发布:2024大模型行业应用十大典范案例集
weixin_59191169的博客
06-13 1118
6月5日,由数字产业创新研究中心主办,锦囊专家、首席数字官承办,中国软件行业协会CIO分会、中关村天使投资联盟协办的“2024中国数字企业峰会–成果发布日”成功于线上举办。《2024大模型行业应用十大典范案例集》在百余位行业专家、业内同仁的云端见证下重磅发布。评委会专家针对典型性、实效性、创新性、复杂性和推广性5个维度,对候选案例进行评估,分别择优10个入选编入《2024大模型行业应用十大典范案例集》,本案例集汇集了文化、医药、IT、钢铁、航空、企业服务等行业在大模型应用领域的典范案例。
2024大模型行业应用十大典范案例集(非常详细)零基础入门到精通,收藏这一篇就够了
Python_0011的博客
07-03 1535
报告正文《2024 DIIRC大模型行业应用十大典范案例集》为我们展示了十家行业先锋如何利用大模型技术,优化业务流程,提升服务体验,推动产业创新。这些案例不仅彰显了技术的力量,更指引了未来数字化转型的方向。
Windows 防火墙入站和出站
零一魔法
03-20 2408
出站是从本地计算机访问外部网络,例如浏览器发起请求访问网站 - 零一居入站是从外部网络访问本地计算机,例如使用localsend将文件从手机(外部网络)传送到本地计算机。
【亲测免费】 应急响应基础:日志分析工具Log Parser与login工具使用详解
gitblog_06583的博客
09-20 843
应急响应基础:日志分析工具Log Parser与login工具使用详解 【下载地址】应急响应基础日志分析工具LogParser与login工具使用详解 本资源文件详细介绍了Log Parser这款微软的日志分析工具,包括其功能、下载、安装步骤、配置环境变量的过程,并展示了如何配合login工具进行日志分析和结果查看。文章...
应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog等
今天是几号的博客
05-03 3441
1、七牛Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。
Windows】VMware虚拟机安装Windows 10 教程
热门推荐
Cappuccino Blog
06-30 5万+
VMware虚拟机安装Windows 10 教程
蓝队-应急响应-日志分析
weixin_58782362的博客
01-06 2109
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
StatusCode : 200 StatusDescription : OK Content : {"status":"0","info":"INVALID_USER_KEY","infocode":"10001"} RawContent : HTTP/1.1 200 OK Transfer-Encoding: chunked Connection: close Vary: Accept-Encoding gsid: 033043115215174195629117800052990315994 sc: 0.001 Access-Control-Allow-Origin: * Access-Control-Allow-Me... Forms : {} Headers : {[Transfer-Encoding, chunked], [Connection, close], [Vary, Accept-Encoding], [gsid, 033043115215174 195629117800052990315994]...} Images : {} InputFields : {} Links : {} ParsedHtml : mshtml.HTMLDocumentClass RawContentLength : 59
03-15
<think>好的,我现在需要帮用户分析他们提供的API响应内容。用户给出的状态码是200,但返回的信息显示"INVALID_USER_KEY"。首先,我得确认状态码200通常表示请求成功,但这里的内容却指出密钥无效,这可能是高德API的特殊处理方式。 用户之前的问题是关于如何验证securityJsCode的有效性和安全性,现在他们可能遇到了密钥无效的问题,需要找出原因。我需要先回顾之前的回答,确保现在给出的建议一致。之前提到的场景1中,如果返回400错误码说明密钥无效,但用户现在得到的是200状态码,但状态是0和INVALID_USER_KEY,这可能需要进一步解释。 接下来,我要分步骤分析可能的原因。首先,密钥错误或过期,这是最常见的问题。用户可能输入了错误的密钥,或者密钥已经被重置。其次,密钥类型是否正确,比如使用的是Web端密钥还是服务端密钥,用错了地方也会导致这个问题。然后是IP白名单的问题,如果服务端密钥设置了IP限制,而当前服务器的IP不在白名单中,也会出现这个错误。此外,还有可能请求的API接口不支持当前使用的密钥类型,或者请求参数有误,比如缺少必要参数导致系统误判密钥问题。 在解决方案部分,需要指导用户检查密钥是否正确,核对控制台中的信息,确认密钥类型和IP白名单设置。同时建议他们通过API测试工具直接测试,排除代码中的问题。最后,如果所有步骤都正确,可能需要联系高德技术支持进一步排查。 还需要注意用户提供的响应头中Access-Control-Allow-Origin是*,这可能存在安全风险,之前在场景3中提到过CORS验证,需要提醒用户正确配置,避免跨域滥用。此外,RawContentLength是59,说明返回内容很短,可能没有其他隐藏信息,主要关注status字段。 最后,确保回答结构清晰,分点列出原因和解决方案,让用户能逐步排查问题。同时保持语言简洁,避免技术术语过多,让用户容易理解。</think>以下是您提供的API响应分析及解决方案: --- ### **核心问题定位** 虽然HTTP状态码为`200 OK`,但响应体明确提示: ```json {"status":"0","info":"INVALID_USER_KEY","infocode":"10001"} ``` 这表明**密钥验证失败**,需重点排查密钥相关配置。 --- ### **分步诊断指南** #### **1. 密钥有效性验证** | 检查项 | 正确操作 | 错误示例 | |-----------------|---------------------------------|----------------------------| | 密钥类型 | Web端JS API专用`securityJsCode` | 误用Android/iOS平台密钥 | | 密钥状态 | 高德控制台确认密钥未过期 | 使用已删除/重置的旧密钥 | | 密钥绑定域名 | 与当前访问域名完全匹配 | 备案域名`example.com` vs 实际使用`www.example.com` | **快速验证命令**: ```bash # 将<your_key>替换为实际密钥 curl "https://restapi.amap.com/v3/ip?key=<your_key>&securityJsCode=<your_js_code>" ``` #### **2. 安全策略冲突检测** ```mermaid graph TD A[请求来源] -->|未携带安全凭证| B{高德服务器} B -->|校验策略| C[IP白名单] C -->|未匹配| D[拒绝服务] C -->|匹配| E[签名验证] E -->|失败| F[返回INVALID_USER_KEY] ``` **关键排查点**: - **IP白名单限制**:服务端密钥需在[控制台](https://console.amap.com)配置调用服务器IP - **签名验证**:Web端请求必须通过[JS API安全凭证](https://lbs.amap.com/api/javascript-api/guide/abc/security)加密 - **Referer限制**:检查浏览器请求头中的`Referer`是否在允许列表内 #### **3. 代码层常见错误** ```javascript // 高危错误:直接暴露securityJsCode window._AMapSecurityConfig = { securityJsCode: '1b98e658dadff239f5117af6eefc9202' // 明文存储 }; // 正确做法:通过服务端代理 axios.post('/api/get-amap-data', { location }) .then(response => { // 服务端附加密钥后返回数据 }); ``` --- ### **应急处理流程** 1. **立即操作**: - 登录[高德控制台](https://console.amap.com)重置密钥 - 在代码库执行全局搜索`securityJsCode`,确认无硬编码泄露 2. **日志分析**: ```bash # 检查Nginx日志中的异常IP(示例) awk '$9 == 200 {print $1}' access.log | sort | uniq -c | sort -nr ``` 3. **安全加固**: ```nginx # 添加API路由防护(Nginx配置示例) location /amap-proxy { valid_referers your-domain.com; if ($invalid_referer) { return 403; } proxy_pass https://restapi.amap.com; } ``` --- ### **深度技术解读** - **为什么状态码200却报错**:高德API网关成功接收请求后,业务逻辑层返回错误信息,属于RESTful API的常见设计 - **infocode 10001**:特定错误编码,对应[官方错误码表](https://lbs.amap.com/api/webservice/guide/tools/info)中的密钥错误 - **响应头`gsid`字段**:高德内部请求追踪ID,提交工单时需提供此值(示例中的`033043115215174195629117800052990315994`) --- ### **扩展建议** 建议实施**密钥轮转策略**: 1. 每月自动生成新密钥 2. 通过CI/CD管道更新环境变量 3. 保持旧密钥72小时灰度过渡期 > 注:高德地图API密钥每日调用量超限也会触发此错误,可通过控制台「配额管理」查看实时用量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值