Rubrik "NT Eventlog"

Eventlog Blog

Eine Fülle interessanter Informationen zum Eventlog bietet Eric Fitz in seinem Blog Windows Security Logging and Other Esoterica.

Dateiformat: Cursor

Der Cursor markiert das logische Ende einer Eventlog-Datei. Dass dies nicht unbedingt auch das physische Ende sein muss, irritiert zahlreiche Programme. Wer deshalb ein Log von Hand mit dem Hexeditor auswerten muss, wird den Cursor doppelt zu schätzen wissen: seine auffällige Magic ist nicht zu übersehen und im Gegensatz zum Header sind die Daten auch immer aktuell.

Dateiformat: Header

Der Header ist ein gutes Kriterium, um Logdateien als solche zu identifizieren. Er enthält einige Informationen zum Aufbau der Datei. Gültig sind die meisten Daten jedoch nur bei geschlossenen Logdateien.

Dateiformat: Übersicht

Dieser Artikel gibt eine Übersicht über den Aufbau der Protokolldateien (.EVT) des Eventlogs von Microsoft Windows NT, 2000, XP und dem Windows Server 2003.

NT Eventlog: Übersicht

Windows NT enthält seit Version 3.5 einen System Logger, genannt Eventlog Service. Die von Microsoft erhältliche Dokumentation beschränkt sich auf die meisten der Konfigurationsoptionen in der Registry und die Struktur eines Ereignis-Datensatzes. Das mag ausreichen, um die Datensätze auszulesen. Gerade die undokumentierten Bereiche können jedoch für die Forensik sehr interessant sein.

 1 2 

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12