Skip to content
EVTX parser

イベントログ ノート

稼働中の Windows システムから .evtx ログを収集する方法(4 つの手段)
稼働中の Windows ホストから .evtx を取り出す 4 つの方法 — wevtutil、FTK Imager、KAPE、生の NTFS 読み取り — それぞれの証拠保全上のトレードオフと、実際に叩くコマンド。
Event ID 4625 を解読する:ブルートフォース、スプレー、列挙の検知
4625 はログオン失敗のレコード。正しく読めば、成功する前にパスワード スプレー、クレデンシャル スタッフィング、Kerberos 不正利用を捕捉できる。
Event ID 1102 を解読する:セキュリティ監査ログのクリア(と残るもの)
1102 は、より多くの証拠を残さずには抑制できない唯一のイベント。何を伝え、クリア後も何が残るのかを解説。
EVTX ファイル形式を解読する:チャンク、テンプレート、BinXML 内部
.evtx ファイルがバイト レベルでどう配置されているか — ファイル ヘッダ、64 KB チャンク、テンプレート テーブル、そしてそれを参照する BinXML レコード ストリーム。
PowerShell Event ID 4104 を解読する:DFIR のためのスクリプトブロック ロギング
スクリプトブロック ロギングは Windows で最も有用な無料の防御コントロール。難読化されたものやインメモリのものも含め、スクリプト本体全体をイベント 4104 として記録する。
Event ID 7045 を解読する:永続化シグナルとしてのサービス インストール
サービス作成は最も騒がしい永続化手法の一つ。Event 7045 は全インストールを捕捉する — 3 つのフィールドを読めばその大半を捉えられる。
Sysmon Event ID 1 を解読する:DFIR トリアージのためのプロセス作成
Sysmon のイベント 1 は Windows が生成できる最もリッチなプロセス作成レコード。中身と素早いトリアージ方法を解説。
Windows イベント ID 4624:成功したログオンを解読する
4624 レコードに実際に何が入っているのか、なぜ LogonType フィールドがイベント自体より重要なのか、トリアージで注目すべきフィールド、そして大量のレコードをフォレンジックで効率よく読み解くための実用的なヒント。
Windows イベントログのバイナリ形式を読む
.evtx ファイルの内部構造、64 KB チャンクと XML テンプレートの仕組み、各イベントに含まれる情報、そしてこのバイナリ形式が Windows のインシデント対応とフォレンジック調査でなぜ重要なのかを短くまとめた入門。