Dieser kurze Beitrag enthält etwas magic(5), mit deren Hilfe file(1) Dateien des Vista Ereignisprotokolls in ihrer nativen Form (.evtx) identifizieren kann.
Hoffentlich wird der folgende Codeschnippsel seinen Weg in die nächste Version von file(1) finden.
0 string ElfFile\0 Vista Event Log (.evtx) >0x2a leshort x \b, %d chunks >>0x10 lelong x \b (no. %d in use) >0x18 lelong >1 \b, next record no. %d >0x18 lelong =1 \b, empty >0x78 lelong &1 \b, DIRTY >0x78 lelong &2 \b, FULL
Hier sind einige Anwendungsbeispiele:
- eine gewöhnliche Protokolldatei:
System.evtx: Vista Event Log (.evtx), 6 chunks (no. 5 active), next record no. 744 - diese Datei wurde gesichert, während das System noch lief:
Anwendung.evtx: Vista Event Log (.evtx), 2 chunks (no. 1 active), next record no. 171, DIRTY - hier wird bereits der 2. Block (der Zähler in der Datei startet bei 0!) wiederverwendet:
sample4.evtx: Vista Event Log (.evtx), 16 chunks (no. 1 in use), next record no. 5276 - diese Datei ist randvoll und konnte bereits keine weiteren Daten mehr aufnehmen:
sample6.evtx: Vista Event Log (.evtx), 16 chunks (no. 15 in use), next record no. 4260, FULL
