このツール,IISのアクセスログ,IISのエラーログ,イベントログ等マイクロソフト製品の分析には使えそうです。
イベントログに関しては,Like検索やGroup by等が使えるので,イベントビューワのXMLクエリーより強力です。
XMLクエリーのように詳細なカラム名の指定ができないので(事前にカラム名を知っている必要アリ),データを広めに検索してしまうことを理解した上で使う必要があります。
インストール
- Log Parser をインストール
- LPSV2.D2.zipを解凍
使い方のコツ1
種類が違うログを同じフォルダに入れているとフォーマットが違う等のエラーになる。
例えば,IISのエラーログとアクセスログはフォーマットが違うので,違うフォルダに入れる。
NGな例
iis_error.log
iis_w3c_access.log
を Add Folder(*.log)で開く
使い方のコツ2
イベントログは,イベントID毎にログの中身が変わるので,詳細な情報は結合されて Strings 1セルにぶち込まれています。
詳細な解析のためにはイベントビューワとの併用が必要です。
どこかのCTFで役に立った事例
どこのCTFか忘れたけど,ELECOM製のUSBメモリが挿された日時は?って感じの問題。(シリアルだったかも?)
とにかく,どのイベントログに残るかピンポイントで覚えていなかったので Log Parser Studio で横断検索した。
