WindowsLog_Check V3.4更新内容

• 修复数据库写入错误

  ：解决了在将日志数据写入数据库时出现的“database is locked”错误，确保数据存储的稳定性和可靠性。

• 增强数据筛选功能

  ：新增了对所有日志数据和主机信息数据的关键字筛选功能，用户可以更方便地查找和分析特定信息。

• 扩展日志展示范围

  ：增加了对系统日志、应用程序日志和安全日志的部分展示功能。每个日志最多显示1000条记录，虽然详细信息可能不完全，但已大大提升了日志查看的便利性。

• 新增威胁检索提示

  ：在威胁检索子功能中，增加了弹窗提示，帮助用户更直观地了解功能使用方法和注意事项。

• 优化日志分析流程

  ：在第二次运行时，工具会自动分析工具目录下的Eventlog.db文件，减少重复分析日志的时间，提高工作效率。

• 调用Windows API获取原始日志信息

  ：使用Go语言的syscall包调用Windows API，获取原始的事件日志数据。例如，您可以使用syscall.NewLazyDLL和syscall.NewProc加载相应的DLL和函数，然后通过syscall.Syscall调用API。 razeen.me

• 解析XML格式的日志数据

  ：Windows事件日志通常采用XML格式。您可以使用Go的encoding/xml包解析这些XML数据。首先，定义与事件ID对应的结构体，然后使用xml.Unmarshal将XML数据映射到这些结构体中。 cnblogs.com

• 提取关键字段信息

  ：在解析后的结构体中，提取您关心的关键字段信息，如事件ID、时间戳、源计算机名等。

• 存储日志信息到SQLite数据库

  ：使用Go的github.com/mattn/go-sqlite3库连接SQLite数据库。根据提取的字段信息，设计相应的数据库表结构，并将日志信息插入到这些表中。

• 使用SQL语句进行检索

  ：在SQLite数据库中，您可以编写SQL查询语句，检索和分析存储的日志数据。例如，您可以根据事件ID、时间范围等条件进行筛选。

WindowsLog_Check V3.3

• 调用Windows API获取原始日志信息

  ：使用Go语言的syscall包调用Windows API，获取原始的事件日志数据。例如，您可以使用syscall.NewLazyDLL和syscall.NewProc加载相应的DLL和函数，然后通过syscall.Syscall调用API。 razeen.me

• 解析XML格式的日志数据

  ：Windows事件日志通常采用XML格式。您可以使用Go的encoding/xml包解析这些XML数据。首先，定义与事件ID对应的结构体，然后使用xml.Unmarshal将XML数据映射到这些结构体中。 cnblogs.com

• 提取关键字段信息

  ：在解析后的结构体中，提取您关心的关键字段信息，如事件ID、时间戳、源计算机名等。

• 存储日志信息到SQLite数据库

  ：使用Go的github.com/mattn/go-sqlite3库连接SQLite数据库。根据提取的字段信息，设计相应的数据库表结构，并将日志信息插入到这些表中。

• 使用SQL语句进行检索

  ：在SQLite数据库中，您可以编写SQL查询语句，检索和分析存储的日志数据。例如，您可以根据事件ID、时间范围等条件进行筛选。