Dateiformat: Übersicht

Dieser Artikel gibt eine Übersicht über den Aufbau der Protokolldateien (.EVT) des Eventlogs von Microsoft Windows NT, 2000, XP und dem Windows Server 2003.

Die Protokolldateien tragen die Endung EVT. Standardmäßig legt Windows sie im Verzeichnis %Windir%\System32\config ab. Der Dateiname und -pfad ist jedoch in der Registry für jedes Log einzeln konfigurierbar.

Jede Protokolldatei besteht aus drei Bereichen:

  1. dem Header,
  2. dem Datenbereich mit Ereigniseinträgen und dem Cursor,
  3. gegebenenfalls freiem Speicherplatz oder Padding.

Neu angelegte Dateien beginnen mit einer Länge von 64 kiB und werden bei Bedarf um jeweils weitere 64 kiB verlängert. Die maximale Dateigröße lässt sich per Log in der Registry konfigurieren ("MaxSize"). Protokolldateien sind deshalb in der Regel ein Vielfaches von 64 kiB groß. Lediglich mit der API-Funktion BackupEventLog() erstellte Dateien werden auf die erforderliche Länge gekürzt.

Header und Datenbereich zerfallen in einzelne Datensätze, die einer allgemeinen Struktur entsprechen:


Allgemeines Format eines Eintrags
Lfd. Nr.OffsetLängeBedeutung
104Länge
2var.var.Magic
3var.var.Nutzdaten
4var.4Länge

Die Datensätze werden wie Bausteine aneinander gereiht. Überlicherweise würde in diesem Fall eine doppelt verkettete Liste zum Einsatz kommen. Im Fall der Liste müssen jedoch beim Einfügen und Löschen eines Elementes die Zeiger in den benachbarten Datensätzen aktualisiert werden, was relativ zeitaufwendig ist. Dies entfällt bei der einfachen Aneinanderreihung. Der Eventlog-Dienst kann somit Datensätze vergleichsweise schnell schreiben.

Gleichzeitig ermöglicht es die zweifache Längenangabe, die Kette in beide Richtungen schnell zu traversieren.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.