結論
Ericさんという謎の人物が提供しているツール群が最強です。
基本的にこれらをサクっと紹介。
ここから無料でDLできます。
https://ericzimmerman.github.io/#!index.md
事前準備
Ericさんのツールを動かすには.NETというよく分からないものをインストールしておく必要があります。
Microsoft公式サイトに移動。
https://dotnet.microsoft.com/ja-jp/download
無料なのでそのままインストールしましょう。
しかし.NETは.NET4、.NET6、.NET9、.NET10で全く環境が異なります。
これから使うツール群はほとんど.NET9で動きます。10をインストールしないよう気を付けましょう。
しつこいようですが.NETの9ね。
EvtxeCmd
セキュリティログってファイル単位でバラバラですよね。
「23:00にセキュリティログと、その時のPowershellのログを見比べたい」とかは基本的にできません。
が、これを使えば複数のイベントログを1つにまとめて見れちゃいます。
EvtxeCmdはあくまでイベントログを一つにするコマンドです。
ビュワーではありません。
1. ここからツールをDLして解凍
https://ericzimmerman.github.io/#!index.md
2. パスを通したフォルダに格納
3.ドッキングしたいイベントログをコマンドで実行
作成途中
MFTECmd
MFTファイルとは、ファイルの更新の詳細とかが記録されているものです。
これは隠しファイルであり、苦労して取得してもバイナリデータなのでそのままでは見れません。
そこでMFTECmdを利用すれば、バイナリデータだったMFTをCSVファイルに変換し、自由に見れるようになります。
パスの通したディレクトリにぶち込み、動くか確認
MFTECmd --version
このメッセージが出る場合は、1行目にもある通り.NETがインストールされていないためです。この記事の冒頭を参考に別途.NETをインストールしてみてください。
.NET10だったり、.NET9の32bit版(x86)を入れたりして動かず苦戦。
やっと動いた~
MFTECmd -f "MFTファイルパス" --csv "変換後のパス"と実行
出力先はパスです。出力先を"C:\MFT.csv"とかにすると、勝手にMFT.csvってフォルダが作られ、その下にcsvファイルが出力されます。ま、そんなに実害はないので適当でもなんとでもなります。
MFTECmd -f "C:\MFT.raw" --csv "C:"
かなり時間が掛かる。
250MBで20分掛かりました。
これで、$MFTファイルをCSVファイルに変換できました。あとはExcelなりSplunkなりで内容を確認できます。
Event Log Exploere
Windowsデフォルトのイベントビュアーは何かと使いにくい。
フィルターもIDと文字列みたいな自由度はありません。
しかし!Event Log Exploereを利用すればもっと自由にイベントログが見れます。
※これはEricさんに関係のないソフトです。
公式サイトに情報を入れてファイルDL。
ちょろっと触るだけなら一番上の30日間お試しでいいと思う。
