NT Eventlog: Übersicht

Windows NT enthält seit Version 3.5 einen System Logger, genannt Eventlog Service. Die von Microsoft erhältliche Dokumentation beschränkt sich auf die meisten der Konfigurationsoptionen in der Registry und die Struktur eines Ereignis-Datensatzes. Das mag ausreichen, um die Datensätze auszulesen. Gerade die undokumentierten Bereiche können jedoch für die Forensik sehr interessant sein.

Im Laufe der nächsten Wochen plane ich, an dieser Stelle einige Artikel über das Eventlog der Microsoft Windows NT-Produktfamilie zu veröffentlichen. Das (vorläufige) Inhaltsverzeichnis:
- Architektur
- Registry: Dienst
- Registry: Log
- Registry: Datenquelle
- Dateiformat: Übersicht
- Dateiformat: Header
- Dateiformat: Event
- Dateiformat: Cursor
Auf fertige Beiträge wird aus diesem Artikel verlinkt.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.