python读取windows日志_Python解析windows系统日志文件

DOM是Document Object Model的简称，XML 文档的高级树型表示。该模型并非只针对 Python，而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的，并且包括在 Python 2.0 的标准 XML 支持里。

参考博客：

python网络编程学习笔记：XML生成与解析

Python取证技术: Windows 事件日志分析

1.安装python_Evtx

直接使用pip install python-evtx命令安装即可

2.感兴趣的日志部分筛选

import mmap

import contextlib

from Evtx.Evtx import FileHeader

from Evtx.Views import evtx_file_xml_view

from xml.dom import minidom

def MyFun():

EvtxPath = "D:Application.evtx"

with open(EvtxPath,'r') as f:

with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:

fh = FileHeader(buf,0)

for xml, record in evtx_file_xml_view(fh):

#只输出事件ID为4624的内容

InterestEvent(xml,4624)

print ""

# 过滤掉不需要的事件，输出感兴趣的事件

def InterestEve