Rubrik "Vista Eventlog"

Dieser Beitrag dokumentiert den Evtx Datei-Header. Der Header enthält grundlegende Informationen über eine Protokolldatei.

Dieser kurze Beitrag enthält etwas magic(5), mit deren Hilfe file(1) Dateien des Vista Ereignisprotokolls in ihrer nativen Form (.evtx) identifizieren kann.

Microsoft hat den Release Candidate 2 für Vista veröffentlicht. Neben zahlreichen Neuerungen enthält Vista ein neues Format für Ereignisprotokolle. Dieser Beitrag ist der erste in einer Reihe, die zu einem besseren Verständnis des neuen Formats beitragen soll.

Freud und Leid kann so nahe bei einander liegen. Eben noch die Freude über die MItteilung des MS-Supports zu zwei undokumentierten Werten im neuen Logformat. Dann die Verwunderung, warum der Support meine Beispieldateien nicht öffnen kann. Nach der Installation der Vista Build 5259 kenne ich jetzt die Antwort: das Logformat hat sich geändert! Gehe zurück auf Los... So ist das eben, wenn man in undokumentierten Datenstrukturen von Beta-Software herumstochert.

Windows Vista wird uns mit einem vollständig neues Format für die Logdateien konfrontieren. Auch der neue Eventviewer wird leistungsfähiger als sein NT-Urvater sein. Als Forensiker will man jedoch auch noch Fragmente eines Logs auswerten, möglicherweise sogar auf einem anderen Betriebssystem als Longhorn oder Vista. Da erweist sich die lückenhafte Dokumentation des Formats als ausgesprochen hinderlich.