这是一个用于分析Windows事件日志的工具,可以帮助你快速查找和分析重要的系统事件。
- 支持分析Windows事件日志(EVTX格式)
- 支持按事件ID、登录类型、账号、IP地址和时间范围筛选
- 支持导出分析结果为JSON格式
- 提供详细的统计信息
- 支持批量处理多个日志文件
- Python 3.6+
- 依赖包:
python-evtx tkcalendar
-
克隆仓库:
git clone https://github.com/你的用户名/Windows日志分析工具.git cd Windows日志分析工具 -
安装依赖:
pip install -r requirements.txt
-
运行python程序:
python gui.py
-
打包为exe程序(可选):
pyinstaller Windows日志分析.spec
-
选择EVTX文件
- 点击"浏览"按钮选择Windows事件日志文件(.evtx格式)
-
设置筛选条件(可选)
- 事件ID:勾选并点击"选择事件"按钮
- 登录类型:勾选并点击"选择类型"按钮
- 账号筛选:勾选并输入账号关键字
- IP地址:勾选并输入IP地址
- 时间范围:勾选并设置起止时间
-
设置输出(可选)
- 勾选"输出文件"
- 选择保存路径(JSON格式)
-
开始分析
- 点击"开始分析"按钮
- 等待分析完成
-
查看结果
- 在表格中查看详细结果
- 在统计信息区域查看汇总数据
- 4624: 登录成功
- 4625: 登录失败
- 4634: 注销
- 4647: 用户启动的注销
- 4648: 使用明确凭据进行登录
- 4649: 已为用户配置了Kerberos约束委派
- 4672: 使用特权账号登录
- 4769: 请求了Kerberos服务票证
- 4771: Kerberos预身份验证失败
- 4778: 重新连接到Windows会话
- 4779: 断开Windows会话连接
- 4688: 进程创建
- 4696: 主要令牌分配
- 4697: 服务安装
- 4698: 计划任务创建
- 4699: 计划任务删除
- 4700: 计划任务启用
- 4701: 计划任务禁用
- 4702: 计划任务更新
- 4720: 用户账户创建
- 4722: 用户账户启用
- 4723: 用户尝试更改密码
- 4724: 密码重置尝试
- 4725: 用户账户禁用
- 4726: 用户账户删除
- 4727: 安全启用的全局组被删除
- 4728: 成员添加到安全启用的全局组
- 4729: 成员从安全启用的全局组移除
- 4730: 安全启用的本地组被删除
- 4731: 创建安全启用的本地组
- 4732: 成员添加到安全启用的本地组
- 4733: 成员从安全启用的本地组移除
- 4735: 安全启用的本地组被更改
- 4737: 安全启用的全局组被更改
- 4738: 用户账户更改
- 4740: 用户账户锁定
- 4741: 计算机账户创建
- 4742: 计算机账户更改
- 4743: 计算机账户删除
- 4776: 计算机尝试验证账户凭据
- 4798: 枚举用户的本地组成员身份
- 4799: 枚举安全启用的本地组的成员
- 4608: Windows正在启动
- 4609: Windows正在关闭
- 4616: 系统时间已更改
- 4902: 每用户审核策略表被创建
- 4904: 尝试注册安全事件源
- 4905: 尝试注销安全事件源
- 4906: 事件日志已清除
- 4907: 审核设置已更改
- 4908: 特殊组的成员资格已列出
- 4912: 每用户审核策略已更改
- 5379: 凭据验证
- 2: 交互式登录
- 3: 网络登录
- 4: 批处理登录
- 5: 服务登录
- 7: 解锁登录
- 8: 网络明文登录
- 9: 新凭据登录
- 10: 远程交互式登录
- 11: 缓存交互式登录
- 大文件分析可能需要较长时间,请耐心等待
- 时间筛选支持精确到秒的范围设置
- 支持Windows和macOS系统
- 初始版本发布
- 支持基本的日志分析功能
- 支持JSON格式导出
欢迎提交 Issue 和 Pull Request 来帮助改进这个项目。
本项目采用 MIT 许可证。详见 LICENSE 文件。