Event Log Explorer™ для расследования инцидентов
Исследование журналов событий один из обязательных шагов при расследованиях различных инцидентов, от нарушений политики безопасности до криминальных расследований. Event Log Explorer способен значительно упростить работу по анализу журналов событий Windows при проведении расследований для экспертов по информационной безопасности, экспертов по цифровым доказательствам, криминалистов.
Event Log Explorer помогает существенно ускорить получение доказательств из журналов событий Windows
Наши клиенты сообщают, что Event Log Explorer помогает им получать доказательства из журналов Windows гораздо быстрее чем при использовании стандартного Просмотра событий Windows.
Такая высокая производительность труда достигается за счет следующих преимуществ Event Log Explorer:
| Объединение журналов событий Вы сможете анализировать события Windows из разных источников (журналов и файлов) одновременно. Event Log Explorer позволяет объединять разные журналы с разных машин в одно представление (общий лог). Это очень помогает при анализе хронологии событий из множества источников. |
Мощная система фильтрации Event Log Explorer дает вам 5 (пять) разных способов фильтрации событий по любым критериям, от простого быстрого фильтра по подобию до фильтров, связывающих события (например, запуск/выключение, вход в систему/выход и т.д.). |
Прямой доступ к файлам Event Log Explorer может получать данные из EVT and EVTX файлов напрямую (без Windows API). Это позволяет извлекать данные даже из поврежденных файлов или работать с EVTX файлами в Windows XP. |
| Пользовательские колонки Event Log Explorer позволяет показывать данные из описаний событий (имя пользователя, имя файла и т.д.) в отдельных колонках в списке событий. Это позволяет анализировать отдельные самые важные данные из описаний событий без необходимости просматривать описания событий целиком. Эта возможность сильно ускоряет анализ данных журналов событий Windows. |
Экспорт выборок событий Для интеграции с другии следственными инструментами или для построения общей хронологии событий из разных источников очень удобно воспользоваться экспортом событий из журналов Windows. Event Log Explorer позволяет экспортировать выборки событий в формат Microsoft Excel, csv-текст или HTML. Вы можете настроить какие данные будут экспортироваться, будут ли экспортироваться описания событий и пользовательские колонки. |
Подмена источника описаний При следственных действиях часто приходится работать с лог-файлами, взятыми с машин другой сетевой инфраструктуры. Вы можете задать другой компьютер, с которого будут браться описания событий, так как на компьютере исследователя могут отсутствовать необходимые описания. Например, при анализе логов, взятых с Windows-сервера, к которому нет доступа, можно указать другой сервер и получить необходимые описания. |
| Непосредственный доступ Event Log Explorer организует компьютеры и логи в дерево. Это позволяет быстро обратиться к ранее анализируемым журналам Windows и лог-файлам. |
Распечатка событий Аналогично экспорту событий, вы можете распечатать любые выборки событий. Event Log Explorer автоматически предложит макет страницы, наилучшим образом подходящий для объема данных, которые необходимо распечатать. Разумеется, вы можете изменить настройки макета печати. |
Коррекция времени При проведении расследования вы можете столкнуться с журналами, взятыми с компьютеров, находившихся в другой временной зоне. По-умолчанию события будут показываться в вашей временной зоне. Вы можете задать коррекцию времени и увидеть события так, как они происходили в том месте, в той временной зоне, где находится компьютер, с которого взяты данные. |