jueves, 20 de agosto de 2020

Veo, leo !!! qué lees? Parser para logs de Windows...

 Estimados amigos de Inseguros !!!


En la aventura gráfica de hoy :-) vamos a usar una pequeña herramienta que seguro que te será o habrá sido útil si lidias con temas forenses o defensivos incluso ofensivos, vamos, si te dedicas a los Windows y la ciber.

Vamos a tratar el Microsoft Log Parser para parsear en un formato entendible nuestros logs, en este caso de Internet Information Server. 


Imagina un escenario en el que por temas forenses debes recurrir a trabajar en log de un servidor web, o por un tema defensivo, monitorizar ciertas peticiones, u ofensivo !!! imagina que has comprometido un webserver y buscar peticiones get con algún dato... el uso que le des es cosa tuya, pero realmente es una herramienta muy útil.

La herramienta tiene un manejo muy sencillo, cargamos el fichero y tenemos a nuestra disposición consultas preconfiguradas o podemos realizar las nuestras. Vamos a realizar una prueba sencilla pasándole un fichero de logs de IIS y realizando una consulta de número de peticiones por hora.


Como puedes ver, o mejor dicho, intuir, el proceso es MUY sencillo. Podemos utilizarlo para la mayoría de formatos de logs del mundo Microsoft, incluyendo el registro de Windows, Exchange, Office, etc...

Mi manera de hacerlo, pudiendolo hacer por línea de comandos, es crear una consulta vacía con un select * sobre el fichero o ficheros a tratar y darle la salida en CSV, para este caso me reservo el tratamiento para Excel.

Para este caso voy a sacar las url´s únicas, con un simple group by.

Darle la salida en csv es igual de sencillo pulsando el botón de output.

Una herramienta muy sencilla de usar y muy salvavidas cuando te hace falta.

Espero que te guste !!!