Korrupte Windows-7-Logs lesen: Log-Dateien anschauen, ohne sie zu beschädigen mit Ipswitch

Dank von »Event Rover« der »WhatsUp Event Log Management Suite« von Ipswitch schaut sich der Administrator Windows-Event-Logs an, ohne sie für forensische Zwecke unbrauchbar zu machen.

Event-Log-Dateien von Windows-Desktops oder Servern speichern wichtige Informationen, die auf Probleme oder Eindringversuche untersucht werden müssen. Allerdings sind die Bordmittel von Windows nicht besonders geeignet dafür. Mit der »WhatsUp Event Log Management Suite« von Ipswitch bekommt der Administrator ein Tool für die übergreifende Auswertung. Als Teil davon erlaubt der »Event Rover 3.0« Events-Logs zu betrachten, ohne dass der Administrator Gefahr läuft diese zu verändern. Letzteres macht die Daten für forensische Zwecke unbrauchbar. Außerdem stellt Event-Rover mit der »LogHealer«-Funktion beschädigte EVTX-Log-Dateien wieder her. Dieses Format kommt ab Windows-Vista für Event-Log-Dateien zum Einsatz. Über die Baumansicht lassen sich die Ereignisse sortieren, gruppieren und filtern.

Das Interface von »WhatsUp Event Rover« von Ipswitch

Für die Integrität der Log-Dateien erstellt Event-Rover eine Kopie auf dem lokalen Rechner. Die Original-Daten bleiben erhalten. Die Kopie kann die Software in einem Bibliothek für weitere Analysezwecke ablegen.

Um die Log-Dateien nicht von Hand durchsuchen zu müssen, definiert der IT-Verwalter gewünschte Suchmuster. Dies kann eine große Anzahl von fehlgeschlagenen Logins in kurzer Zeit sein, was auf eine Brute-Force-Attacke hinweist. Oder es ist eine Flut von Fehlermeldungen aus der gleichen Quelle weist auf mögliche Hard- oder Software-Fehler hin. Event-Rover durchsucht die geladenen Log-Daten dann danach.

Einfache Reports erstellt Event-Rover in Html oder exportiert die Daten als CSV-Dateien. Neben dem neueren EVTX-Format beherrscht die Software auch das ältere EVT. Sie gibt es auch separat ohne die Suite.

Übersicht