TZWORKS EVTX VIEWER 2021 V1.15 WINALL

TZWORKS.EVTX.VIEWER.2021.V1.15.WINALL-TEL

 

TZWORKS | 2021 | EXE | RAR | 1,81 MB | WINDOWS

Windows Event Log Viewer (evtx_view) ist ein GUI-basiertes Tool, das Windows-Ereignisprotokolle von allen Windows-Versionen ab Windows XP analysieren kann.

Die Ausgabe erfolgt in Form einer Baumansicht, in der man die Komponenten eines Ereignisprotokolls auswählen und ihre interne Struktur anzeigen kann. Das Tool ermöglicht die Erstellung von Berichten für bestimmte Kategorien von Ereignisprotokollen, wie z. B. USB-Plug-and-Play-Ereignisse, Änderungen von Anmeldeinformationen, Kennwortänderungen usw. Wenn einer der verfügbaren Berichte den Anforderungen eines Analysten nicht entspricht, besteht die Möglichkeit, einen benutzerdefinierten, selbst erstellten Bericht zu verwenden und zu verarbeiten.

Wie verwendet man evtx_view?

Nach dem Start von evtx_view versucht das Tool, sich Administratorrechte zu verschaffen. Dies ermöglicht ihm den Zugriff auf das Windows-Ereignisprotokollverzeichnis auf einem Live-Host-Rechner. Um ein Ereignisprotokoll zu analysieren, navigiert man einfach zu dem gewünschten Protokoll, und evtx_view versucht, jeden Datensatz im Protokoll zu analysieren. Da evtx_view FOX (Free Objects for X) als GUI-Engine verwendet, unterscheiden sich das Haupt-GUI-Panel und die Dialogfelder von denen des normalen Windows-Betriebssystems. Die Unterschiede sind zwar gering, aber das FOX-Toolkit ermöglicht es Entwicklern, GUI-Tools relativ einfach von einem Betriebssystem auf ein anderes zu portieren.

Berichte zu Ereigniskategorien

Während die Anzeige der Datensatzdaten nützlich ist, ist es für den durchschnittlichen Analysten in der Regel sinnvoller, bestimmte Ereignisse herauszuziehen und eine Zeitleiste der Ereignisse in einen Bericht zu packen. Für diesen Anwendungsfall verfügt evtx_view über eine Reihe von Optionen, um bestimmte Ereignisse auf der Grundlage von Kategorien auszuwählen.

Extrahieren von Datensätzen mithilfe von Filtern

Man kann die verfügbaren Filter verwenden, um bestimmte Datensätze von Interesse zu finden. Derzeit bietet das Filtermenü von evtx_view Optionen für: (a) Datumsbereich, (b) Ereignis-ID(s) oder (c) ein Zeichenkettenmuster.

Untersuchung der Datensatz-Interna

Gelegentlich ist es notwendig, die Rohdaten des Ereignisdatensatzes zu untersuchen, um zu überprüfen, ob die erzeugten XML-Datensätze korrekt sind. Um die Rohdaten zu prüfen, gibt es zwei Möglichkeiten: (a) entweder den Datensatz mit den zugehörigen hexadezimalen Daten oder (b) den Datensatz mit den rohen Slot-Daten (Vista und höher) zu betrachten.

Umgang mit Volume Shadows

Um einen Volumenschatten zu analysieren, muss man zunächst den Index der Volumenschattenkopie ermitteln, die man analysieren möchte. Glücklicherweise findet evtx_view heraus, welche Snapshots verfügbar sind und präsentiert sie dem Benutzer in einer Dropdown-Auswahl.

BETRIEBSSYSTEM:

WINDOWS

.TEL\VERLASSEN