Análisis Digital Forense VII

Microsoft Log Parser

Ana Guerrero
 Microsoft Log Parser
 Microsoft ha desarrollado una herramienta en el año 2000 llamada Log Parser
o analizador de registros. Este fue escrito por Gabriele Giuseppini.

 Este ha sido desarrollado dentro de una herramienta poderosa conformada

por tres motores básicos:

Tiene un motor capaz Tiene incorporado un Su último motor de

de procesar registros procesador SQL procesamiento es un
generados por los capaz de llevar a motor de salida,
productos de cabo consultas SQL capaz de generar una
Windows, así como sobre los datos de amplia gama de
otros formatos. registro. formatos de salida.
Log Parser

 Log Parser es una herramienta potente y versátil, lo mejor de todo es que es

gratis. La única desventaja de Log Parser es su curva de aprendizaje, debido a
la necesidad de utilizar consultas SQL.

 Log Parser tiene un fuerte seguimiento entre los administradores de sistemas,

los investigadores de la red, y otros con una necesidad de procesar una
amplia gama de formatos de registro
Usando Log Parser
Descargar e
Instalar

Hay un programa
de línea de El programa es
comandos de Log pequeño y la
Parser llamado instalación es
LogParser.exe rápida y sencilla

Cuando la instalación
haya terminado,
habrá una carpeta, en
Archivos de Programa,
llamada Log Parser
2,2.
Ventana de comandos
LogParser.exe -o:DATAGRID “select * from system”

 Al escribir el comando anterior, se puede ignorar la diferencia

entre mayúsculas y minúsculas, pero debe utilizar las comillas.

 La Figura 1 muestra la línea de comandos, y la Figura 2 muestra

los datos resultantes en la interfaz gráfica.

 La interfaz de usuario, presenta como resultado las diez primeras

filas de datos resultantes de la consulta, si hay más datos, se
puede elegir todas las filas o el siguiente grupo de 10 filas de
registros (En la esquina inferior derecha de la interfaz).
 Otras opciones de esta pantalla son ‘Seleccionar todo’ y ‘Copiar’. Con
esta funcionalidad se puede pegar fácilmente la salida en una hoja de
cálculo para su posterior análisis. De esta manera, si usted no desea
utilizar las funciones de análisis de Log Parser, se podría transferir la
tarea a Excel.

 Con el comando anterior, le dijimos a Log Parser que:

o Ejecute la consulta y seleccione TODOS los datos que serán mostrados
en una cuadrícula de datos.
o Obtenga los datos del sistema.
Figura 1. Comando ingresado en Log Parser
Figura 2. Salida del comando ingresado
en Log Parser
 Todas las consultas realizadas con Log Parser tiene tres partes, que se refiere a
cada no de sus tres motores.

3) La consulta
1) Tipo de 2) Tipo de que está
entrada: -i salida: -O entre
paréntesis

 La consulta debe estar formada por lo menos por 2 partes: select y from.

 En ciertas ocasiones no se necesita definir el tipo de entrada, ya que el analizador

de registros es bastante inteligente y puede determinar el tipo de registro sin
haberse definido. Si el analizador de registro no puede realizar la determinación
de tipo de registro, recibirá un mensaje de error apropiado.

 Si no se define el tipo de salida, el analizador de registros por defeco enviará una

salida de tipo nativa.
 Log Parser tiene una función de ayuda LogParser.exe –h. Por ejemplo si
necesita ayuda específica con el tipo de entrada W3C escribir el comando
LogParser.exe –h –i:W3C.

 La Figura 2 muestra información disponible para el tipo de entrada W3C. Si

alguna vez tiene alguna pregunta de la sintaxis, la ayuda es de fácil alcance.
Figura 3.
Resumen

 Se ha dado una breve introducción a la herramienta de Microsoft Log Parser,

se vera un poco mas a detalle en las siguientes practicas.
Referencias

 Log Parser https://www.microsoft.com/en-

us/download/details.aspx?id=24659