Työkalu .evtx-Windowsin tapahtumalokitiedostojen tarkasteluun

Asiakas lähetti minulle joitain .evtx-tapahtumalokin vientitiedostoja. Etsin ilmaista katsojaa, jolla on suodatin- / kyselyominaisuudet.

• Olen tarkastellut NirSoftin MyEventViewer sen /LoadFiles -vaihtoehdolla, mutta dokumentaatiosta ei ole selvää, ladataanko tiedostot osaksi lokitiedostoja, joita en todellakaan halua kommentti, jonka minun on määritettävä sopiva lokityypin nimi saa minut epäilyttäväksi). Se puhuu myös vain .evt-tiedostoista, ei .evtx-tiedostoista. Jos joku voi vahvistaa, että se ei lataa tiedostoja järjestelmälokeihin, voin tutkia sitä tarkemmin. (Olen lähettänyt heille postin, mutta vastausta ei vielä ole katso hyväksytty vastaus).

• Windows Event Viewer Plus ei voi ladata tiedostoja

• EvtLogParser sulkeutuu. Se on kätevä kyselyihin, mutta sillä ei ole ”näytä kaikki” -tilaa, jossa voit vain selata tiedostoa suodattamattomana. Minun on valittava vähintään tapahtuman tyyppi (virhe, varoitus, tiedot …), jotta se on toimiva, mutta ehkä siellä on jotain parempaa.

• Tapahtumaloki Explorerissa on kaikki mitä pidän, mutta sillä on ilmainen versio vain henkilökohtaiseen käyttöön

• MS Log Parser on komentorivityökalu 😉

Kommentit

• Ei käyttöliittymää, mutta python-evtx-kirjasto voi jäsentää virhelokisi ASCII XML: ään. github.com/williballenthin/python-evtx