Re: [ml] Editor di Files .EVT ( LOG Windows )

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2006 ml@sikurezza.org
Soggetto: Re: [ml] Editor di Files .EVT ( LOG Windows )
Mittente: Daniele Muscetta
Data: Mon,  8 May 2006 12:28:05 +0200 (CEST)

Quello che dice Guido e' LogParser:

http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

Esiste anche un sito "non ufficiale" (ma molto interessante) con
ulteriori consigli, esempi d'uso et:
http://www.logparser.com/


Tuttavia continuo a non avere chiaro il significato di "editor".
Quello menzionato e' un tool per ANALIZZARE i log.

Di fatto, per "scriverli" (=aggiungere eventi) ci sono una serie di
API, in realta' da qualsiasi llinguaggio di programmazione e'
possibile scrivere eventi nell'eventlog (piuttosto che scrivere il
proprio log applicativo), e trovi documentazione abbondante su MSDN a
partire da qui:
http://windowssdk.msdn.microsoft.com/library/en-us/eventlog/base/event_logging.asp

Se invece vuoi fare il "monello" ed "editare" (="cancellare righe per
coprire le tue azioni") l'eventlog, non ti posso aiutare, perche'
richiede modificare il file direttamente, e il formato .EVT non e'
documentato.

Esistono tentativi di reverse-engineering del formato, che puoi
trovare su Internet, e che vengono usati a scopo di *Export* (=dump)
dei dati direttamente dal file SENZA passare dalle API, di solito a
scopo di analisi forense/post-mortem.
Tieni comunque presente che questo approccio puo' essere interessante
a scopo didattico, ma non e' il metodo di accesso ai log supportato da
Microsoft (che sono invece, le API).


ciao,

Daniele

On 5/2/06, Guido Serra <guido.serra@xxxxxxxxx> wrote:


Il giorno 01/mag/06, alle ore 19:46, Felice Gaiba ha scritto:

> Buona giornata a tutti,
>
> qualcuno di voi conosce un editor per i files .evt di Windows
> ( file di log
> ) ?

un editor o qualcosa per analizzarli?
tempo fa avevo usato un tool di microsoft che permette di eseguire
delle select SQL...
no comment... era come dare mysql -e 'SQL...' solo che lavorava su
tutto il file...

--
Guido Serra
+39 348/4313992
http://guidoserra.it


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- [ml] Editor di Files .EVT ( LOG Windows ), Felice Gaiba
- Re: [ml] Editor di Files .EVT ( LOG Windows ), Guido Serra

Data:
- precedente: [ml] Fwd: [AIPSI] a Verona: La sicurezza di bere buon vino, Alessio L.R. Pennasilico
- successivo: R: [ml] Leggete e meditate..., Massimo Baschieri
- indice

Argomento:
- precedente: Re: [ml] Editor di Files .EVT ( LOG Windows ), Guido Serra
- successivo: [ml] Leggete e meditate..., Stefano Zanero
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005