EVENT.LOG.EXPLORER.FORENSIC.2022-TEL
Event Log Explorer™ ist eine effektive Softwarelösung zur Anzeige, Überwachung und Analyse von Ereignissen, die in den Sicherheits-, System- und Anwendungsberichten sowie in anderen Berichten der Windows-Betriebssysteme festgehalten werden. Der Event Log Explorer erweitert die standardmäßige Windows-Ereignisanzeige um viele zusätzliche Funktionen.
Der Event Log Explorer hilft Ihnen, Probleme, Sicherheitswarnungen und alle innerhalb von Windows entstandenen Ereignisse zu laden, zu finden und über sie zu berichten. Dank des Event Log Explorers erfolgt die Überwachung und Analyse von Ereignisprotokollen, die in Sicherheit-, System-, Anwendungs-, Directory Service-, DNS-Berichten und in anderen Berichten von Microsoft-Windows-Betriebssystemen festgehalten werden, viel schneller und äußerst effektiv.Der Event Log Explorer ermöglicht eine leistungsstarke Ereignissuche und bietet ein effizientes Filtermodul. Ereignisse können in der Liste ganz einfach nach beliebigen Kriterien gefiltert werden. Jeder Filter kann in einer Datei gesichert werden – dies spart Ihnen Zeit, wenn Sie den Filter in Zukunft erneut anwenden möchten.
Anders als die standardmäßige Ereignisanzeige kann der Event Log Explorer Ereignisprotokolle oder sogar einzelne Ereignisse ausdrucken. Ebenso können Ereignisprotokolle in andere Formate exportiert werden. Aktuell unterstützt der Event Log Explorer HTML, Microsoft Excel und tabulatorgetrennte Textdateien. Für die effektive Ereignisanalyse verfügt der Event Log Explorer über erweiterte Berichttools, mit denen Sie unterschiedliche Übersichtstabellen und Übersichtsdiagramme erstellen können.
Der Event Log Explorer ist ein professionelles Dienstprogramm - private Nutzer zu Hause werden es jedoch mit Sicherheit in gleicher Weise als hilfreich empfinden. Systemprotokolle und Sicherheitsprotokolle müssen ebenso auf privaten PCs überwacht werden. Systemprotokolle helfen Ihnen, Hardware- und Systemfehler festzustellen sowie Systemdienste und andere Ressourcen zu überwachen. Anhand von Sicherheitsprotokollen können Sie Ihr System überprüfen und den Zugriff auf Windows-Ressourcen wie etwa Dateien, Ordner und Registrierungsschlüssel überwachen, Anmeldeversuche verfolgen und andere Tasks zur Überprüfung ausführen.
Hauptfunktionen und Vorteile des Event Log Explorers auf einen Blick:
Zugriff auf Windows-Ereignisprotokolle und Dateien aus Ereignisprotokollen auf lokalen Servern oder Remote-Servern
Unterstützung sowohl klassischer Windows-NT-Ereignisprotokollformate (EVT-Dateien) als auch neuer (Crimson) Ereignisprotokollformate (EVTX-Dateien)
Hohes Leistungsvermögen – alle Ereignisse werden entweder in den Arbeitsspeicher oder in eine optimierte interne lokale Datenbank geladen
Aktive Überwachung und Fehlermeldung – Sie werden über Probleme umgehend informiert
Konsolidieren von Ereignisprotokollen – fügen Sie unterschiedliche Ereignisse an einem Ort zusammen
Protokoll-Ladeoptionen zum Vorfiltern von Ereignissen
Erweiterte Filtermöglichkeiten nach beliebigen Kriterien, einschließlich Beschreibungstexten von Ereignissen
Manuelles und automatisches Backup von Ereignisprotokollen
Drucken und Exportieren in unterschiedliche Formate
Analyseberichte – Übersichtstabellen und Pivot-Tabellen
Credential Manager
und vieles mehr...
Funktionen und Vorteile des Event Log Explorers
Der Event Log Explorer ist eine stark benutzerorientierte Software. Ein großer Teil der verbesserten Funktionen basiert auf den Vorschlägen und Ideen unserer Kunden. Mit diesen Funktionen gelingt dem Event Log Explorer der Schritt von der einfachen Ereignisanzeige zu einem gründlichen Analyseinstrument.
Zugriff auf Windows-Ereignisprotokolle und Dateien aus Ereignisprotokollen auf lokalen Servern oder Remote-Servern
In gleicher Weise wie die Windows-Ereignisanzeige greift auch der Event Log Explorer auf Ereignisprotokolle und Dateien aus Ereignisprotokollen zu – sowohl von lokalen Servern als auch von Remote-Servern. Anders als bei der Ereignisanzeige können jedoch mehrere Ereignisprotokolle (und deren Dateien) gleichzeitig betrachtet werden – in unterschiedlichen Fenstern oder gemeinsam in einem Fenster (konsolidierte Ereignisanzeige)
Unterstützung sowohl des klassischen Windows-NT-Formats für Log-Dateien (EVT Dateien) als auch des neuen (Crimson) Formats für Log-Dateien (EVTX-Dateien)
Für den Zugriff auf Ereignisprotokolle und Dateien aus Ereignisprotokollen können Sie, sofern möglich, zwischen der klassischen Windows-NT-Programmschnittstelle und der modernen Windows-Event-Log-Oberfläche wählen. Die moderne Schnittstelle arbeitet noch etwas langsamer, bietet jedoch detailliertere Informationen zu Ereignissen.
Hohes Leistungsvermögen – alle Ereignisse werden entweder in den Arbeitsspeicher oder in eine optimierte interne lokale Datenbank geladen
Für einen reibungslosen Ablauf der Ereignisanalyse liest der Event Log Explorer Ereignisse in seinen temporären Speicher. Abhängig von der Größe des Ereignisprotokolls kann zwischen dem Arbeits- oder Festplattenspeicher gewählt werden.
Aktive Überwachung und Fehlermeldung – Probleme umgehend erfahren
Der Event Log Explorer überwacht Ereignisse, die in Ihrem System entstehen, und informiert Sie, sobald ein spezielles Ereignis ausgelöst wird. So werden Sie über Probleme sofort und ausführlich informiert, bevor diese Ihnen Schaden zufügen können.
Konsolidieren von Ereignisprotokollen – Sie können unterschiedliche Ereignisse an einem Ort konsolidieren
Der Event Log Explorer ermöglicht Ihnen, Ereignisse nicht nur aus unterschiedlichen Quellen zu lesen, sondern sie auch noch in nur einer Ereignisanzeige zusammenzuführen. Sie können die Anzeige als ein solides Protokoll ansehen. Das konsolidierte Ereignisprotokoll kann sogar als EVT-Datei gespeichert werden.
Tabbed Document oder Multiple Document Interface - Darstellung je nach Nutzerpräferenzen
Der Event Log Explorer bietet 2 Sorten von Benutzeroberflächen. Das Multiple Document Interface (MDI) erlaubt Ihnen eine unbegrenzte Anzahl von Ereignisprotokollen zu öffnen und sie alle innerhalb des Hauptfensters des Event Log Explorers zu positionieren. Das Tabbed Document Interface (TDI) lässt Sie mithilfe der Registernavigation eine unbegrenzte Anzahl von Ereignisprotokollen öffnen und bestmöglich zwischen ihnen navigieren.
Protokoll-Ladeoptionen zum Vorfiltern von Ereignissen
Mit dem Event Log Explorer können Sie Ereignisse von dutzenden Windows-Servern gleichzeitig laden. Grundsätzlich müssen nicht alle Ereignisse aus allen Protokollen geladen werden. So können Sie zum Beispiel Ereignisse mit einer Informations-ID ausblenden. Die Protokoll-Ladeoptionen helfen Ihnen, Ereignisse beim Laden bereits vorzufiltern.
Erweiterte Filteroptionen nach beliebigen Kriterien, einschließlich Beschreibungstext des Ereignisses
Sie können Ereignisse ganz einfach nach beliebigen Kriterien filtern. Filter können wiederverwendet werden – Sie können sie als Datei sichern und sie auf andere Ereignisprotokolle anwenden. Sie können reguläre Ausdrücke (RegExps) verwenden, um nach Beschreibungstexten zu filtern. Die Anwendung ermöglicht Ihnen, Ereignisse nach der Ereignis-ID und nach Beschreibungsparametern zu verknüpfen. Derartiges Filtern verknüpfter Ereignisse hilft Ihnen, das Sicherheitsprotokoll zu analysieren.
Häufig verwendete Computer und ihre Protokolle werden in einem Baumverzeichnis dargestellt
Mit dem Event Log Explorer können Sie Ereignisprotokolle auf unterschiedlichen Windows-Servern und Arbeitsplätzen ansehen. Um die Ansicht übersichtlicher zu gestalten, können Sie Ihre Rechner in einer Baumstruktur gruppieren. Sie müssen nur noch das gewünschte Ereignisprotokoll auswählen, und es wird sofort geöffnet.
Manuelles und automatisches Backup von Ereignisprotokollen
Das regelmäßige Backup von Ereignisprotokollen ist äußerst wichtig. Große Ereignisprotokolle können die Leistung Ihres Geräts beeinflussen, Administratoren müssen jedoch vergangene Ereignisse analysieren können. Die Lösung besteht darin, die Größe der Ereignisprotokolle zu beschränken und ein regelmäßiges Backup der Protokolle durchzuführen. Der Event Log Explorer lässt Sie Ereignisprotokolle als Ereignisprotokolldateien manuell oder automatisch speichern.
Schnelles Navigieren dank Lesezeichen
Moderne Internet-Browser ermöglichen Ihnen, beliebte URLs mittels Lesezeichen zu sichern, die später ganz einfach wiederhergestellt werden können. Der Event Log Explorer erlaubt Ihnen, in ähnlicher Weise Ereignisse als Lesezeichen zu markieren, zu denen Sie dann ganz einfach zurückkehren können.
Kompatibilität mit bekannten Ereignis-Knowledge-Bases
Mehr Information zu einem Ereignis erhalten Sie in der öffentlichen Ereignis-Knowledge-Base. Der Event Log Explorer unterstützt EventID.net und Microsoft Knowledge Bases.
Farbcodierung der Ereignis-ID
Anhand der Farbcodierung können einzelne Ereignisse einfach unterscheidbar gemacht werden. Sie können Textfarbe, Schriftart sowie Hintergrundfarbe für einzelne Ereignisse verändern.
Drucken und in andere Formate exportieren
Mit dem Event Log Explorer können Ereignisprotokolle ausgedruckt und in ein anderes Format exportiert werden. In den Druckoptionen können unterschiedliche Druckarten ausgewählt werden. Der Event Log Explorer unterstützt HTML, tabulatorgetrennte Dokumente und Excel-Dokumente.
Analysebericht – Übersichtstabellen und Pivot-Diagramme
Die Erstellung von Ereignisberichten mit Pivot-Tabellen und Pivot-Diagrammen ist ganz einfach. So lassen sich etwa Ereignistypen nach Datum zusammenfassen oder Statistiken nach Ereignis-ID, Ereignisquelle etc. erstellen.
Direkter Zugriff auf EVT-Dateien – lesen Sie beschädigte EVT-Dateien und erstellen Sie EVT-Dateien aus ausgewählten Ereignissen
Der Event Log Explorer kann direkt auf EVT-Dateien zugreifen (ohne die Event-Log-Programmierschnittstelle). So können Sie beschädigte Ereignisprotokolle lesen bzw. Ereignisprotokolle auch dann lesen, wenn der Event Log Service nicht verfügbar ist (z. B. in BartPE oder in anderen vorinstallierten Umgebungen). Sie können ebenso Ihre eigenen EVT-Dateien erstellen.
Scheduler - damit Ereignisprotokoll-Tasks planmäßig ablaufen
Manche Tasks können mithilfe des eingebauten Schedulers automatisiert werden. So können etwa der Export eines Ereignisprotokolls oder Druckaufträge geplant werden.
Credential Manager
Beim Öffnen eines Ereignisprotokolls von einem Remote-Server versucht der Event Log Explorer, Ihre aktuellen Anmeldedaten für den Zugriff zu verwenden. In manchen Fällen müssen Sie jedoch alternative Anmeldeinformationen verwenden, um auf Remote-Ereignisprotokolle zugreifen zu können. Der Credential Manager lässt Sie unterschiedliche Anmeldeinformationen für jeden Server speichern und sie verwenden, wenn Sie ein Remote Ereignisprotokoll zu öffnen versuchen.
Die Ereignisliste kann nach jeder Spalte und in jede Richtung sortiert werden
Wie auch die Windows Ereignisanzeige lässt Sie das Programm Ereignislisten nach Spalten sortieren. Dazu müssen Sie nur auf die Spaltenüberschrift klicken – die Ereignisliste wird umgehend neu sortiert. Wenn Sie zweimal auf die Spalte klicken, wird die Ereignisliste in umgekehrter Reihenfolge sortiert. In den Programmreferenzen kann die standardmäßige Sortierung festgelegt werden – diese wird dann angewendet, wenn Sie ein Protokoll öffnen.
Zeitkorrektur
Die Zeit des jeweiligen Ereignisses wird als koordinierte Weltzeit gespeichert. Wenn Sie ein Protokoll öffnen, das auf einem Server erstellt wurde, der sich in einer anderen Zeitzone befindet, können Sie sich virtuell in dieser Zeitzone bewegen und Ereignisse von dort aus betrachten. Die Zeitkorrektur hilft Ihnen, Ereignisse in beliebigen Zeitzonen anzusehen.
Server-Import
Bei der Koordination eines großen Netzwerks werden Sie erstaunt sein, wie einfach Sie sämtliche Server dieses Netzwerks ins Programm importieren können. Dazu müssen Sie nur eine Liste mit all Ihren Servern erstellen – das Programm wird sie anschließend alle importieren. Sie können auch den Event Log Explorer auffordern, Ihr Netzwerk zu durchsuchen (Aktives Verzeichnis) und die Liste Ihrer Computer automatisch zu erstellen.
Event Log Explorer - die Forensic Edition.
Der Unterschied zwischen der Standard- und der forensischen Edition:
Das Programm behält alle Funktionen der Standard Edition, und Sie brauchen die Standard Edition in der Regel nicht zu benutzen, wenn Sie die Forensic Edition besitzen. Wenn Sie jedoch einen Lizenzschlüssel für die Forensic Edition besitzen, können Sie diese mit der Standard Edition verwenden. Wenn Sie jedoch einen Lizenzschlüssel für die Standard Edition haben, funktioniert dieser nur mit der aktuellen Version der Forensic Edition. Sie können von Standard auf Forensic upgraden, indem Sie die Preisdifferenz bezahlen.
Für die Ausführung des neuen Programms ist keine Elevation erforderlich. Wenn Sie also nicht über Administratorrechte verfügen, können Sie das Programm trotzdem ausführen. Die Standard-Edition erfordert eine Berechtigungserweiterung, um auf das Sicherheitsprotokoll zuzugreifen und um Ereignisprotokolle zu verwalten (z. B. zu löschen). Forensische Benutzer arbeiten in der Regel mit Protokolldateien, daher ist es nicht notwendig, das Programm mit erhöhten Rechten zu starten. Wenn Sie jedoch auf das Sicherheitsprotokoll zugreifen müssen, können Sie es manuell als Administrator starten.
Wenn Sie das Programm starten, finden Sie den Hauptunterschied zwischen den beiden Editionen in der Benutzeroberfläche. Es gibt zwei neue Menüpunkte im Hauptmenü: Forensik und Skript.
Mit Skripten können Sie Ihre eigenen Skripte (in Pascal-Skripten geschrieben) erstellen und ausführen, die Ihnen helfen, einige Vorgänge zu automatisieren oder komplexe Filter zu erstellen. Wir werden die Skripterstellung auch in die Enterprise Edition von Event Log Explorer integrieren.
Das Menü Forensik öffnet den Zugang zu den forensischen Funktionen des Programms.
Mit der Funktion "Abgebildeten Computer hinzufügen" können Sie einen virtuellen Computer in der Objektstruktur erstellen und auf dessen Protokolldateien als "Live"-Protokolle zugreifen.
Forensisches Öffnen von Dateien ermöglicht es Ihnen, Ereignisprotokolldateien mit einer "forensischen" Methode zu öffnen. Dies beinhaltet das Öffnen von Dateien ohne Windows-API und ermöglicht das Öffnen beschädigter Dateien.
Mit dem Tiefenscan können Sie eine Ereignisprotokolldatei, ein Datenträger-Image oder sogar einen ganzen Datenträger nach Ereignissen durchsuchen. So können Sie Ereignisse aus stark beschädigten Protokolldateien oder nicht eingebundenen oder beschädigten Festplatten-Images extrahieren.
Mit der Funktion Schnappschuss erstellen und laden können Sie Ihre aktuelle Ereignisprotokollansicht für eine spätere Analyse in einer Datei speichern.
BETRIEBSSYSTEM:
WINDOWS
.TEL\VERLASSEN
Die Veröffentlichung ist lediglich zu Bildungszwecken gedacht.
Sie beruht auf dem Recht der Informationsfreiheit.
The publication is intended for educational purposes only.
It is based on the right of freedom of information.
0 Kommentare:
Kommentar veröffentlichen