Java 正在分析Windows事件日志,是否可能?
我正在对我心目中的一个项目的可行性做一点研究。它涉及到对硬盘图像进行一些取证工作,我一直在寻找有关如何分析保存的windows事件日志文件的信息 我不需要监控当前事件的能力,我只是希望能够查看已创建的事件,并记录创建这些事件的时间和应用程序/流程。然而,我在windows系统细节的内部工作方面没有太多经验,我想知道这是否可能 计划是创建硬盘的映像,然后在第二台机器上进行分析。理想情况下,这将在Java或Python中完成,因为它们是我最精通的语言 我关注的主要问题如下: 这些信息是加密的吗 是否存在用于直接解析此数据的现有API 是否有关于这些日志存储格式的信息,以及它与windows版本的区别 这必须通过分析驱动器本身来实现,因为理想情况下,驱动器上的windows安装不会运行(因为它将是另一个系统上安装的映像) 在我的搜索中,我能找到的最接近的东西是,但这似乎是针对远程客户端的。理想情况下,映像驱动器上无需安装任何设备。另一个似乎也会弹出的解决方案是JNI库,但在监视运行系统方面似乎更是如此Java 正在分析Windows事件日志,是否可能?,java,python,Java,Python,我正在对我心目中的一个项目的可行性做一点研究。它涉及到对硬盘图像进行一些取证工作,我一直在寻找有关如何分析保存的windows事件日志文件的信息 我不需要监控当前事件的能力,我只是希望能够查看已创建的事件,并记录创建这些事件的时间和应用程序/流程。然而,我在windows系统细节的内部工作方面没有太多经验,我想知道这是否可能 计划是创建硬盘的映像,然后在第二台机器上进行分析。理想情况下,这将在Java或Python中完成,因为它们是我最精通的语言 我关注的主要问题如下: 这些信息是加密的吗 是否
非常感谢您的帮助。:) 您可以使用Microsoft的命令行工具将事件日志中的数据提取为CSV或各种其他格式。默认模式从正在运行的系统上的事件日志中提取,但是根据文档,您也可以告诉它查询一组EVT文件。在您的情况下,您可以将其指向调查系统中的EVT文件。您可以使用Microsoft的命令行工具将事件日志中的数据提取为CSV或各种其他格式。默认模式从正在运行的系统上的事件日志中提取,但是根据文档,您也可以告诉它查询一组EVT文件。在您的情况下,您可以将其指向正在调查的系统中的EVT文件。保存的windows事件日志文件称为备份。您可以使用JNA打开并读取它们。首先介绍如何在Java中读取事件日志
EventLogIterator iter = new EventLogIterator("Application");
while(iter.hasNext()) {
EventLogRecord record = iter.next();
System.out.println(record.getRecordNumber()
+ ": Event ID: " + record.getEventId()
+ ", Event Type: " + record.getType()
+ ", Event Source: " + record.getSource());
}
保存的windows事件日志文件称为备份。您可以使用JNA打开并读取它们。首先介绍如何在Java中读取事件日志
EventLogIterator iter = new EventLogIterator("Application");
while(iter.hasNext()) {
EventLogRecord record = iter.next();
System.out.println(record.getRecordNumber()
+ ": Event ID: " + record.getEventId()
+ ", Event Type: " + record.getType()
+ ", Event Source: " + record.getSource());
}
我会选择德索利马诺的解决方案;转换日志文件(在C:\WINDOWS\System32\config for WinXP中)并分析输出,但如果您喜欢一点挑战,将让您开始使用自己的解析器:)我会选择dsolimano的解决方案;转换日志文件(在C:\WINDOWS\System32\config for WinXP中)并分析输出,但是如果您喜欢一点挑战,您可以开始使用自己的解析器:)