Notizen zum Ereignisprotokoll
Kurznotizen zum binären Windows-Ereignisprotokollformat, forensisch relevanten Event IDs und Triage-Workflows.
4663 ist der Per-Access-Objekt-Audit-Datensatz. SACLs auf den richtigen Dateien und Schlüsseln geben ein Per-Byte-Log, wer was angefasst hat — gegen Ransomware, Exfil und Credential-Diebstahl.
4672 feuert, sobald einer Anmeldung sensible Rechte wie SeDebugPrivilege zugewiesen werden. Lies es als 'admin-äquivalente Sitzung' und der Rest der Audit-Policy fügt sich.
4688 ist der Base-OS-Prozesserstellungs-Datensatz — vorausgesetzt, Command-Line-Auditing ist an. Hier steht, was drin ist, wie es sich von Sysmon 1 unterscheidet und welche Triage-Muster sich lohnen.
4720 feuert jedes Mal, wenn ein Benutzerkonto erstellt wird — lokal oder in AD. Liest du es mit 4722/4724/4732, findest du Persistenz- und Lateral-Movement-Konten innerhalb von Minuten.
4768 ist die DC-Aufzeichnung jedes ausgestellten TGT. Lies sie über den Result-Code und das Pre-Auth-Flag und du erkennst AS-REP-Roasting, Brute Force und Missbrauch unconstrained Delegation.
4769 ist die DC-Aufzeichnung jeder Service-Ticket-Anfrage. Lies sie über den Verschlüsselungstyp und du erkennst Kerberoasting; lies sie mit 4768 und du erkennst Pass-the-Ticket.
7036 feuert bei jedem Start oder Stopp eines Dienstes. Mit 7045 gepaart bestätigt es, ob Persistenz tatsächlich lief — und allein deckt es Dienstmissbrauch, Defense Evasion und Boot-Anomalien auf.
Fünf Wege, eine Windows-EVTX-Datei zu öffnen — im Browser, in der Ereignisanzeige, mit wevtutil, mit EvtxECmd oder mit python-evtx. Wähle nach Host-OS und gewünschter Reibung.
Eine EVTX-Datei ist ein binäres Windows-Ereignisprotokoll. Wo sie liegen, was drinsteckt, wie sie sich von .evt unterscheiden und wie man sie ohne Installation öffnet.