ハードディスクのフォレンジックイメージからWindowsイベントログを抽出する方法

Windowsイベントログは、デフォルトで次の場所に保存されます。

2000、XPおよび2003

C:\Windows\system32\config

Vista +

C:\Windows\system32\winevt\logs

イベントおよびパラメーターメッセージテンプレート

各タイプのログに固有のイベントおよびパラメーターメッセージテンプレートはDLLに格納され（各ログのコンテキストでメッセージとパラメーターを解釈できる）、それらの場所は レジストリのEventlogキー に格納されます、次の場所にあります：

HKLM\SYSTEM\CurrentControlSet\services\Eventlog

このキーを使用して、イベントログがデフォルトの場所に保存されていることを検証することもできます。これは、管理者が変更できるためです（このような変更は、このキーのサブパスに反映されます）。

"汚い" evtログ

ライブシステムからイベントログをコピーする場合、古い*.evtログ（2000、XPおよび2003））の場合、ログを読み取れない場合があるファイルステータスバイトがあります。奇数の値である場合の標準的なビューア ログの修正は十分に文書化されています 、かつてこれを簡単にするfixevt.exeというツールがありましたが、信頼できるダウンロードについては知りませんソースなので、この演習を読者に任せて見つけます（ それが使用されていたサイト は、ホスティングプロバイダーのアカウントが停止されたことを示します）。