Windows Event Log 是調查中重要的東西,透過 LOG 才能看到駭客的軌跡,了解駭客一些行為的蛛絲馬跡。或電腦系統異常現象之LOG,亦可提前掌握,避免系統嚴重錯誤事件發生。
FullEventLogView,是一款專門用於查看Windows系統事件記錄的免費工具軟體,利用單一視窗就能夠輕鬆讀取Windows Event Log。可以讓使用者查看事件記錄中的詳細資訊,包括事件描述、事件識別碼、事件等級、事件來源、事件時間等重要資訊。
使用方式:兩種方法
1. 於cmd直接執行 FullEventLogView.exe,手動輸入各項欲查詢之參數 即可。
2. 若手動輸入麻煩,亦可將欲查詢之參數,先作成bat執行檔後,直接執行
不只可以存取本機電腦的事件記錄,亦可存取遠端電腦的事件記錄,使用者可以根據需要進行排序、篩選和搜尋。
亦可自訂查看模式,包括選擇事件記錄的時間範圍、過濾事件等級。來源、事件識別碼等等…
實例說明:
例1. 以參數查詢, 查詢條件為 log 日期為過去31日內,
event id 為 "41,21,11,6008”
Command line 輸入參數如下:
D:\>cd D:\LIN_Program_Files\FullELV
D:\LIN_Program_Files\FullELV>FullEventLogView
/EventIDFilter 2 /EventIDFilterStr "41,21,11,6008" /TimeFilter 1 /Last TimeFilterUnit 4 /LastTimeFilterValue 31 /SaveDirect
結果顯示如下:
例2. 以參數查詢, 查詢條件為 log 日期期間為01-11-2024 To"02-12-2024,
event id :" 36887, 7026,41,21,11”,並將查詢結果存入csv檔案
Command line 輸入參數如下
FullEventLogView /scomma "c:\EL_output-202412.csv" /EventIDFilter 2 /EventIDFilterStr "36887,7026,41,21,11" /FromTime "01-11-2024 00:00:00" /ToTime "02-12-2024 00:00:00" /SaveDirect
執行後,出力檔案(檔名為EL_output-202412.csv)內容如下:
Event Time,Record ID,Event ID,Level,Channel,Provider,Description,Opcode,Task,Keywords,Process ID,Thread ID,Computer,User,Log File
2024/12/10 下午 02:08:18.291,276047,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,,
2024/12/10 下午 02:08:17.880,276046,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:17.129,276045,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:16.721,276044,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,732,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:15.958,276043,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:15.539,276042,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:03:29.081,276011,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,720,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:03:28.675,276009,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,1324,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:03:10.983,275992,7026,Error,System,Service Control Manager,"下列開機啟動或系統啟動驅動程式無法載入:
bootsafe",,,傳統,652,656,admin-HP,,
2024/12/10 下午 02:03:08.641,3557,21,Information,Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,Microsoft-Windows-TerminalServices-LocalSessionManager,"遠端桌面服務: 工作階段登入成功:
使用者: admin-HP\admin
工作階段識別碼: 1
來源網路位址: 本機",,,0x1000000000000000,672,1000,admin-HP,NT AUTHORITY\SYSTEM,
*** FullEventLogView.exe 各參數 應用說明 ***
* 1. LOG存在電腦 : /DataSource 2 /ComputerName MyComputer
Or 可指定例 ip 192.168.127.5;若不指定即查詢本機
*2. 來源LOG檔案之指定 :
/DataSource 3 /LogFolder "D:\evtLogBK_20211209" /LogFolderWildcard “Security.evtx" /LogFolderWildcard "*"
[註] /LogFolder : 表示log存放之目錄
*3. 查詢結果出力檔案位置指定 : 例 /scomma "C:\EL_output-202412.csv"
*4. 來源LOG envent ID 指定 : 例 "4624,4625"
*5. 來源LOG Level :
/ShowCritical 1 /ShowError 1 /ShowWarning 0 /ShowInformation 0 /ShowUndefined 0 /ShowVerbose 0
[註] /ShowCritical 1: 表示欲查詢 ; 0: 表示不查詢
*6. 來源LOG Channel :
/ChannelFilter 2 /ChannelFilterStr "Security"
Or "Security,Application,System"
*7. 來源LOG 期間選定 : 例 /FromTime "02-01-2024 00:00:00" /ToTime "31-12-2024 00:00:00"
* 8. 來源LOG 最近期間選定 : 例 30天以內之LOG選出
/TimeFilter 1 /LastTimeFilterUnit 4 /LastTimeFilterValue 30
*9. 來源LOG目錄,或Log .evtx 檔之選擇
來源指定: 例如 /DataSource 3 /LogFolder "D:\evtLogBK_2024" /LogFolderWildcard "Security.evtx"
若上述不指定時,即由現行系統C: 內 event log 選出
總結:
FullEventLogView是一款免費的系統事件記錄查看工具,支援多種查看模式,包括本機、遠端和.evtx等備份檔案。它可以讓系統管理員或USER於command line直接輸入查詢,亦可做成bat執行檔,方便查看電腦系統事件記錄中的詳細資訊,並且具有篩選和搜尋等實用功能。藉由善用本程式,定期監視檢查系統事件記錄,可以提前預知風險,避免突然電腦系統故障發生,减少異常對應工時。因此,FullEventLogView是一個非常有用的軟體,值得應用。
---by linct-----
