Windows 이벤트 로그를 구문 분석 할 수 있습니까?

Question

나는 내가 염두에두고있는 프로젝트의 타당성에 대해 조금 연구를하고있다. 그것은 하드 드라이브의 이미지에 대한 법의학적인 연구를하고 있으며 저장된 Windows 이벤트 로그 파일을 분석하는 방법에 대한 정보를 찾고 있습니다.

현재 이벤트를 모니터 할 필요가 없으며, 작성된 이벤트를보고 해당 이벤트를 작성한 시간 및 어플리케이션/프로세스를 기록하기 만하면됩니다. 그러나 나는 윈도우 시스템 특성의 내부 작동에 대한 많은 경험이 없으며 이것이 가능한지 궁금해하고 있습니까?

계획은 하드 드라이브의 이미지를 생성 한 다음 두 번째 시스템에서 분석을 수행하는 것입니다. 이상적으로 이것은 자바 또는 파이썬에서 가장 능숙한 언어이기 때문에 이루어질 것입니다.

이 정보가 어쨌든 암호화되어 다음과 같이

내가 가진 가장 큰 문제

은?

이 데이터를 직접 파싱하기위한 기존 API가 있습니까?

이러한 로그가 저장되는 형식과 관련하여 사용할 수있는 정보가 있으며 Windows 버전과의 차이점은 무엇입니까?

내가 찾을 수있는 가장 가까운 것 (이것은 다른 시스템에 마운트 된 이미지를 것 같은)

이 드라이브에 윈도우 이상적으로 설치로, 드라이브 자체를 분석에서 실행되지 않을 것를 할 수 있어야한다 내 검색에서 http://www.j-interop.org/이지만 원격 클라이언트를 대상으로하는 것 같습니다. 이상적으로 이미지화 된 드라이브에는 아무것도 설치하지 않아도됩니다. 또한 팝업으로 보였던 다른 솔루션은 JNI 라이브러리이지만 실행중인 시스템을 모니터링하는 영역에서는 더욱 그렇습니다.

아무런 도움이 필요하지 않습니다. :)

Answer 1

명령 줄 도구 인 Microsoft의 LogParser을 사용하여 이벤트 로그의 데이터를 CSV 또는 기타 다양한 형식으로 추출 할 수 있습니다. 기본 모드는 실행중인 시스템의 이벤트 로그에서 추출되지만 설명서에 따라 EVT 파일 그룹에 대해 쿼리하도록 지정할 수도 있습니다. 귀하의 경우 조사중인 시스템의 EVT 파일을 가리킬 수 있습니다.

Answer 2

저장된 Windows 이벤트 로그 파일을 백업이라고합니다. JNA를 사용하여 열고 읽을 수 있습니다. Java로 이벤트 로그를 읽는 방법을 설명하는 this article으로 시작하십시오.

EventLogIterator iter = new EventLogIterator("Application");   
while(iter.hasNext()) { 
    EventLogRecord record = iter.next(); 
    System.out.println(record.getRecordNumber() 
      + ": Event ID: " + record.getEventId() 
      + ", Event Type: " + record.getType() 
      + ", Event Source: " + record.getSource()); 
}