Forensics : lire les fichiers EVTX et ETL à froid

Vous pouvez lire à chaud tous les journaux d’événements à l’aide de la commande eventvwr.exe ou de la console eventvwr.msc.

eventvwr

Analyse des fichiers EVTX à chaud

Avec FullEventLogView, Nirsoft propose un utilitaire extrêmement intéressant, permettant de lire tous les contenus des fichiers EVTX – journaux d’événements – présents sur votre système. Vous pouvez les sauvegarder dans un fichier CSV, qui, une fois importé dans un moteur de bases de données, peut faire l’objet de requêtes SQL.

FullEventLogView

Analyse à froid (Forensics)

Dans le cadre d’une démarche Forensics, il peut être intéressant, à froid, de disposer de l’ensemble des contenus des fichiers EVTX et ETL (Event Trace Log) afin de pouvoir les exploiter tranquillement. Il vous suffit de copier tous vos fichiers ETL et EVTX du disque dur dont vous aurez pris soin de faire une copie vers un autre dispositif de stockage. A partir de FullEventLogView, allez dans File > Choose Data Source et spécifiez le répertoire où vous avez stocké vos fichiers de logs.

FullEventLogView > File > Choose Data Source

Exportation des logs

Après avoir sélectionné tous les logs à l’intérieur de la fenêtre principale du logiciel FullEventLogView, allez dans File > Save selected items.

Autres outils

Sécurité informatique  / Computer Forensic