Digital Forensics: log file Analysis

 

Check Windows Event Logs.

• On Windows XP  , are stored in c:\windows\system32\config
• By default, Event Viewer log files use the .evt extension and are located in the %SystemRoot%\System32\winevt\Logs folder.
  
  • Application.evtx: Logs events from applications and programs.
  • Security.evtx: Logs security events like successful or failed logins.
  • System.evtx: Logs events related to Windows system components and drivers
    
    
    

Export all successful logon events to a text file named `logons.txt` on the computer's Desktop.

1. Open Event Viewer and expand Windows Logs. (เปิดโปรแกรม Event Viewer)

Using the Run Dialog:

Press Windows + R to open the Run dialog. (กดปุ่ม Windows + R บนคีย์บอร์ดเพื่อเปิดหน้าต่าง Run
)

Type eventvwr and press Enter.

Or Using the Start Menu:

Click on the Start button or press the Windows key.

Type Event Viewer in the search box and select it from the search results.

• Under Windows Logs, click on the Security which will populate the security events
  

• In the Actions area, select Filter Current Log.(ในส่วน Actions (ด้านขวา) ให้คลิกที่ Filter Current Log.)
  

• In the All Event IDs field, enter the Event ID 4624, then click OK. (ในช่อง All Event IDs ให้ป้อนหมายเลข Event ID: 4624 จากนั้นคลิก OK เพื่อกรองหาเฉพาะเหตุการณ์ล็อกออนที่สำเร็จ)
• In the Actions area, click on Save Filtered Log File As. (กลับไปที่ส่วน Actions อีกครั้ง แล้วคลิกที่ Save Filtered Log File As.)
  

• Select Desktop for the location, for the file name type logons.txt or logons.event, and select Text or Event files for the Save as type.
  

• Click the Save button.

2. Export all events from the security log to a file named `security.txt` on the server's Desktop.

1. In the Action area, click Clear Filter to remove the filter from the previous section.

• Right click on Security under Windows Logs and select Save All Events As.
• Select Desktop for the location, for the file name type security.txt or security.event  and select Text or Event files for the Save as type.
• Click the Save button.

Q:On the system, what time did the user last log into the system?  Download Event log (จากบันทึกเหตุการณ์ที่ส่งออกมา (Download Event log) ผู้ใช้ล็อกอินเข้าสู่ระบบครั้งล่าสุดเมื่อเวลาใด?

Ans:

  A user successfully logged on to a computer. For information about the type of logon, see the Logon Types table below.

4624(S): An account was successfully logged on.

หมายเหตุ: Event ID 4624 หมายถึง "An account was successfully logged on" หรือ "มีการล็อกออนเข้าสู่ระบบบัญชีผู้ใช้สำเร็จ" ซึ่งใช้สำหรับติดตามการล็อกอินที่ประสบความสำเร็จ

ที่มา:ultimatewindowssecurity

อ่านเพิ่มเติม  Event Viewer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรีบนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ