Tags:
create new tag
, view all tags

Event-Log Parsing

Ausgangslage

  • alle 2h wird ein Event-Log-File der Domänencontroller geschrieben und archiviert
  • Grösse (unkomprimiert) ca. 600MB, komprimiert (CAB-File) ca. 40MB
  • jeder Domänencontroller (DC) generiert seine eigenen Logfiles
  • jede Woche werden diese Files in das zentrale Filesystem NAS kopiert
  • Format: *.evtx (neues Format seit Windows Vista)
  • EVTX-Files können mit Tools von Microsoft gelesen werden
  • automatisches Verarbeiten dieser Files wahrscheinlich nur mit PowerShell möglich
  • proprietäres Format, binäres XML (braucht viel weniger Speicherplatz)

Parsen der Event-Log Files mit Perl

  • Modul Parser::Evtx kann *.evtx-Logs parsen
  • ist noch im Entwicklungsstadium (d.h. noch nicht im CPAN verfügbar)
  • hat Memory-Probleme mit sehr grossen Files
  • kann *.evtx-Logs in «normale» XML-Files umwandeln
  • aber das ist nicht immer das, was man eigentlich möchte, da einen meist nur ganz bestimmte Events interessieren

Parsen der Event-Log Files mit Windows-Werkzeugen

  • mit LogParser.exe - ermöglicht eine SQL-ähnliche Abfragestruktur, mit Ausgabemöglichkeit in ein File:
LogParser.exe -i:evt -o:csv "Select * from C:\Logs\*.evtx where EventID=4663 and (Message Like '%Access Mask: 0x6%' or Message Like '%Access Mask: 0x10000%')" > C:\Logs\Out.csv
 get-winevent -path "C:\Logs\Comp1.evtx", "C:\Logs\Comp2.evtx" | where {$_.Id -eq "4663" -and $_.message -like "*0x10000*" -or $_.Id -eq 4663 -and $_.message -like "*0x6*"} > C:\Logs\Out.csv

Anforderungskatalog

  • Änderungen an Objekten (User und Gruppen), sollen nachverfolgt werden können.
  • Wer hat es verändert.
  • Wann wurde die Änderung (Zeit, datum) durchgeführt.
  • Welches Attribute wurde geändert.
  • Was war der ursprüngliche Wert.
  • Was ist der neue Wert.

Dokumente

-- SwenVermeul - 2012-01-30

Topic attachments
I Attachment History Action Size Date Who Comment
PDFpdf Log_Eintrge_User_Objekt.pdf r1 manage 1167.6 K 2012-01-30 - 10:29 UnknownUser Eventlog-Beschreibung von Tibor Magoc
PDFpdf SANS_Summit_Vista_Event_Log.pdf r1 manage 260.0 K 2012-01-30 - 10:30 UnknownUser Beschreibung EVTX-Format
Topic revision: r2 - 2012-01-30 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback