Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования. Иногда требуется получить логи событий за определенный момент времени, и уже в этом отрезке времени изучать события, именно для этого и написана программа EventFinder2.

EventFinder2 от Mike Peterson of Nullsec.us. Эта утилита, написанная на C #, позволит следователю быстро получить дружественный к Excel экспорт всех журналов Windows EVTX в течение указанного промежутка времени, отсортированных по временному порядку. Затем данные могут быть легко отсортированы и отфильтрованы для облегчения быстрого анализа.

EventFinder2 дает возможность искать по заданному временому отрезку как в работающей ОС так же и в сохраненных файлах *.evtx с других систем (Read From Directory Path)
Пример запущеной программы:
Результат появится на рабочем столи в виде файла Logs_Runtime_20190410_162846.xlsx
Пример полученной информации:
EventFinder2