利用系統日誌定位域特定使用者

最重要的是確定目標IP，可利用系統日誌，準確定位目標

主要用到系統內建的日誌分析指令碼Eventquery.vbs


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Eventquery.vbs可列出一個或多個事件記錄中的事件和事件屬性。


文法
eventquery[.vbs][/sComputer[/uDomain\User[/pPassword]]][/fiFilterName][/fo{TABLE|LIST|CSV}][/rEventRange[/nh][/v][/l[APPLICATION][SYSTEM][SECURITY]["DNSserver"][UserDefinedLog][DirectoryLogName][*]]


參數

/sComputer
指定遠端電腦名稱或IP地址不能使用反斜線）。預設值是本機電腦。

/uDomain\User
運行具有由User或Domain\User指定的使用者的帳戶許可權的指令碼。預設值是當前登入發布命令的電腦的使用者權限。

/pPassword
指定使用者帳戶的密碼，該使用者帳戶在/u參數中指定。

/fiFilterName
指定要包括在查詢中的事件的類型，或指定要從查詢中排除的事件的類型。要尋找具有任一值的事件，可通過使用運算子or在單個文法語句中結合使用“類型”和ID。下列是有效篩選器名、運算子和值。

名稱
運算子
值


日期時間
eq,ne,ge,le,gt,lt
mm/dd/yy(yyyy),hh:mm:ssAM(/PM)


類型
eq,ne,or
{ERROR|INFORMATION|WARNING|SUCCESSAUDIT|FAILUREAUDIT}


ID
eq,ne,or,ge,le,gt,lt
任何有效正整數。


使用者
eq,ne
任何有效字串。


電腦
eq,ne
任何有效字串。


源
eq,ne
任何有效字串。


分類
eq,ne
任何有效字串




/fo{TABLE|LIST|CSV}
指定輸出所用的格式。有效值為table、list和csv。

/rEventRange
指定要列出的事件的範圍。


值
說明


N
列出N個最新的事件。


-N
列出N個最舊的事件。


N1-N2
列出從N1到N2的事件。




/nh
取消輸出結果中的欄位標題。僅適用於table和csv格式。

/v
指定顯示在輸出結果中的詳細事件資訊。

/l[APPLICATION][SYSTEM][SECURITY]["DNSserver"][UserDefinedLog][DirectoryLogName][*]]
指定要監視的日誌。有效值為Application、System、Security、"DNSserver"、使用者自訂日誌以及Directory日誌。只有在由/s參數指定的電腦上運行DNS服務的情況下，才可以使用"DNSserver"。要指定多個要監視的日誌，請重新使用/l參數。可以使用萬用字元(*)，並且是預設值。

/?在命令提示字元顯示協助。


注釋


要運行此指令碼，必須正在運行Cscript。如果尚未將預設WindowsScriptHost設定為Cscript，請鍵入：

cscript//h:cscript//s//nologo



範例


下面的範例顯示如何使用eventquery命令：

eventquery/lsystem
eventquery/lmylog
eventquery/lapplication/lsystem
eventquery/ssrvmain/umaindom\hiropln/pp@ssW23/v/l*
eventquery/r10/lapplication/nh
eventquery/r-10/foLIST/lsecurity
eventquery/r5-10/l"DNSserver"
eventquery/fi"TypeeqError"/lapplication
eventquery/fi"Datetimeeq06/25/00,03:15:00AM/06/25/00,03:15:00PM"/lapplication
eventquery/fi"Datetimegt08/03/00,06:20:00PM"/fi"idgt700"/fi"Typeeqwarning"/lsystem
eventquery/fi"IDeq1000ORIDge4500"
eventquery/fi"TypeeqerrorORTypeeqINFORMATION"
eventquery/fi"IDeq250ORTypeeqERROR"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

在域環境下只需運行以下指令即可實現精確定位

1、確定目標使用者登入日期(netuseraa/domain)

2、匯出該日期網域控制站登入日誌

(cscripteventquery.vbs/fi“Datetimeeq06/25/2012,03:15:00AM/06/25/2012,03:15:00PM”

/lSecurity>c:\xxx.txt)

3、匯出DHCP配置(netshdhcp)

通過日誌分析可確定目標IP

本文出自 “暖月無痕” 部落格，請務必保留此出處http://hurri.blog.51cto.com/355432/1300166