Windows Event Log & FullEventLogView

LOG 是鑑識調查中重要的東西，透過 LOG 才能看到駭客的軌跡，當然駭客的行為難以捉摸，也會遇到知道被打但是什麼都沒有沒辦法看的窘境，這邊就站不討論。
接下來的文章主要是想要好好學習各種工具及應用，以 Nirsoft 這網站裡面每個工具為目標來研究學習。

進入第一個工具：FullEventLogView

適用系統環境：Windows 10/8/7/Vista
（如需使用XP或更舊版的請用 MyEventViewer tool ）

用途：

• 可在視窗中顯示 Windows 事件檢視器中所有 LOG 的詳細資訊。
• 可以用於看本機的 LOG 、網絡上遠端的 LOG 以及存在 .evtx 文件中的 LOG
• 可以從 GUI 和 cmd 中將 LOG 列表導出到 text/csv/tab-delimited/html/xml 檔案格式。

使用方式：
它不需要任何安裝過程直接執行 FullEventLogView.exe 即可。
開啟後會自動載入過去 7 天的所有 LOG 。另外，可以用 fn + F9 開啟高級選項視窗，更改設定與篩選器（如下圖）。

若要匯入 .evtx LOG 檔案，或是查看遠端電腦的 EventLog 就按 fn + F7 ，跳出如下的視窗可做選擇。

顯示資料模式選擇：

Options > Lower Pane Display Mode >
可以選擇下方視窗要顯示 log 的模式。

兩種重新整理模式：

• F5 : 就是重新整理
• F8 : 官網寫溫柔的重新整理XD 就是只有新增從上次重新整理後建立的新 LOG 。

自動重新整理：
Options -> Auto Refresh -> Every x seconds
設定每 Ｘ 秒自動重新整理，做動態分析的時候很好用吧！

用管理員權限執行：
預設情況下不會使用管理員權限執行此工具，如果想要看安全層級的 LOG ，就要用高權限執行。在一開始執行程式時右鍵選擇使用管理員權限執行或是在執行當中按 fn+Ctrl+F11。

還可以使用 cmd 使用，時間關係之後再補充XD。