Forensics : lire les fichiers EVTX et ETL à froid
2 avril 2021
Vous pouvez lire à chaud tous les journaux d’événements à l’aide de la commande eventvwr.exe ou de la console eventvwr.msc.
Analyse des fichiers EVTX à chaud
Avec FullEventLogView, Nirsoft propose un utilitaire extrêmement intéressant, permettant de lire tous les contenus des fichiers EVTX – journaux d’événements – présents sur votre système. Vous pouvez les sauvegarder dans un fichier CSV, qui, une fois importé dans un moteur de bases de données, peut faire l’objet de requêtes SQL.
Analyse à froid (Forensics)
Dans le cadre d’une démarche Forensics, il peut être intéressant, à froid, de disposer de l’ensemble des contenus des fichiers EVTX et ETL (Event Trace Log) afin de pouvoir les exploiter tranquillement. Il vous suffit de copier tous vos fichiers ETL et EVTX du disque dur dont vous aurez pris soin de faire une copie vers un autre dispositif de stockage. A partir de FullEventLogView, allez dans File > Choose Data Source et spécifiez le répertoire où vous avez stocké vos fichiers de logs.
Exportation des logs
Après avoir sélectionné tous les logs à l’intérieur de la fenêtre principale du logiciel FullEventLogView, allez dans File > Save selected items.