Sunnych
11.03.2019, 16:24
Event Log Explorer for Windows event log analysis
Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.
Не всегда хватает инструмента Windows для поиска и изучения событий.
На официальном сайте можно скачать обе версии и зарегистрировать их на себя, производитель позволяет такую операцию, вот мой пример
https://forum.antichat.xyz/attachments/4839084/img_b991519901.png
https://forum.antichat.xyz/attachments/4839084/img_bef991801a.png
Мне нравится использовать обе версии.
Event Log Explorer - эффективное программное решение для просмотра, анализа и мониторинга событий, записанных в журналах событий Microsoft Windows. Event Log Explorer значительно упрощает и ускоряет анализ журналов событий (безопасность, приложение, система, настройка, служба каталогов, DNS и другие).
Event Log Explorer расширяет стандартную функциональность Windows Event Viewer и предоставляет множество новых функций.
Пользователи, которые пробовали Event Log Explorer, видят в нем превосходное решение для Windows Event Viewer, которое помогает повысить их производительность в два раза.
Преимущества журнала событий
Мгновенный доступ к журналам событий. Event Log Explorer работает как с локальными, так и с удаленными журналами событий, а также с файлами журналов событий в формате EVT и EVTX. Он может читать файлы журнала событий напрямую (без Event Log API), что позволяет получить доступ даже к поврежденным файлам журнала. Event Log Explorer перечисляет компьютеры, журналы событий и файлы журналов в дереве объектов. Вы можете открыть или управлять любым журналом событий в дереве одним щелчком мыши.
Эффективная фильтрация. Event Log Explorer предлагает несколько способов фильтрации событий в журналах событий Windows: фильтр при загрузке при загрузке событий, быстрый фильтр по шаблону, фильтр по описаниям событий с использованием регулярных выражений или фильтр по параметрам событий безопасности. Интуитивно понятный пользовательский интерфейс позволяет легко создавать сложные фильтры и организовывать их в библиотеку фильтров.
Консолидация журнала событий. Если вы когда-либо пытались консолидировать события с разных сетевых компьютеров в средстве просмотра событий Windows, вы увидите, насколько простым и удобным является журнал событий. Он позволяет вам создавать консолидированное представление различных журналов событий с помощью пары щелчков мыши, и вы можете настроить фильтр загрузки для работы только с необходимыми событиями.
Экспорт событий и генератор отчетов. Event Log Explorer позволяет экспортировать и распечатывать события. Вы можете экспортировать отдельные журналы событий, консолидированные и отфильтрованные представления журнала событий или даже отдельные события в Microsoft Excel, CSV, HTML и другие форматы. Генератор отчетов позволяет распечатывать события с использованием разных макетов и создавать различные аналитические отчеты. Встроенный планировщик помогает автоматизировать процедуры экспорта и создания отчетов.
Рассмотрим пример из статьи RDP forensic event logs - RDP в журналах событий ОС Windows 10 (https://forum.antichat.xyz/threads/566245/) и будем искать Event ID 4648даты11.03.2019 (перед этим я подключился по RDP к виртуальной машине), выбираем фильтр
https://forum.antichat.xyz/attachments/4839084/img_6c586d81fb.png
фильтр выбрали что бы не искать в этом количестве логов за два месяца
и получил результат
https://forum.antichat.xyz/attachments/4839084/img_3aaed64e7c.png
Event Log Explorer™ for Windows event log analysis
Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.
Не всегда хватает инструмента Windows для поиска и изучения событий.
На официальном сайте можно скачать обе версии и зарегистрировать их на себя, производитель позволяет такую операцию, вот мой пример
https://forum.antichat.xyz/attachments/4839084/img_b991519901.png
https://forum.antichat.xyz/attachments/4839084/img_bef991801a.png
Мне нравится использовать обе версии.
Event Log Explorer - эффективное программное решение для просмотра, анализа и мониторинга событий, записанных в журналах событий Microsoft Windows. Event Log Explorer значительно упрощает и ускоряет анализ журналов событий (безопасность, приложение, система, настройка, служба каталогов, DNS и другие).
Event Log Explorer расширяет стандартную функциональность Windows Event Viewer и предоставляет множество новых функций.
Пользователи, которые пробовали Event Log Explorer, видят в нем превосходное решение для Windows Event Viewer, которое помогает повысить их производительность в два раза.
Преимущества журнала событий
Мгновенный доступ к журналам событий. Event Log Explorer работает как с локальными, так и с удаленными журналами событий, а также с файлами журналов событий в формате EVT и EVTX. Он может читать файлы журнала событий напрямую (без Event Log API), что позволяет получить доступ даже к поврежденным файлам журнала. Event Log Explorer перечисляет компьютеры, журналы событий и файлы журналов в дереве объектов. Вы можете открыть или управлять любым журналом событий в дереве одним щелчком мыши.
Эффективная фильтрация. Event Log Explorer предлагает несколько способов фильтрации событий в журналах событий Windows: фильтр при загрузке при загрузке событий, быстрый фильтр по шаблону, фильтр по описаниям событий с использованием регулярных выражений или фильтр по параметрам событий безопасности. Интуитивно понятный пользовательский интерфейс позволяет легко создавать сложные фильтры и организовывать их в библиотеку фильтров.
Консолидация журнала событий. Если вы когда-либо пытались консолидировать события с разных сетевых компьютеров в средстве просмотра событий Windows, вы увидите, насколько простым и удобным является журнал событий. Он позволяет вам создавать консолидированное представление различных журналов событий с помощью пары щелчков мыши, и вы можете настроить фильтр загрузки для работы только с необходимыми событиями.
Экспорт событий и генератор отчетов. Event Log Explorer позволяет экспортировать и распечатывать события. Вы можете экспортировать отдельные журналы событий, консолидированные и отфильтрованные представления журнала событий или даже отдельные события в Microsoft Excel, CSV, HTML и другие форматы. Генератор отчетов позволяет распечатывать события с использованием разных макетов и создавать различные аналитические отчеты. Встроенный планировщик помогает автоматизировать процедуры экспорта и создания отчетов.
Рассмотрим пример из статьи RDP forensic event logs - RDP в журналах событий ОС Windows 10 (https://forum.antichat.xyz/threads/566245/) и будем искать Event ID 4648даты11.03.2019 (перед этим я подключился по RDP к виртуальной машине), выбираем фильтр
https://forum.antichat.xyz/attachments/4839084/img_6c586d81fb.png
фильтр выбрали что бы не искать в этом количестве логов за два месяца
и получил результат
https://forum.antichat.xyz/attachments/4839084/img_3aaed64e7c.png
Event Log Explorer™ for Windows event log analysis