Windows 2000、Windows XP、Windows Server 2003までは、evtという拡張子で
Windows Vista、Windows 7、Windows Server 2008からは、evtxとう拡張子になっている。
古いWindowsで新しいイベントログを読むことができない。
しかも、変換する wevtutilコマンドは、新しいOSにだけ提供されている。
LogParserコマンドも新しいイベントログに対応していない。
自分の手持ちの開発環境は、XPなので(UACが嫌いだから)、ユーザー対応でevtxで送られてくると、
新しいOSにもっててコンバートしている。
何か良いツールがないかと探していたところ「EvtxParser」というPerlのツールを見つけた。
1. evtxtools-1.0.6をダウンロード
http://computer.forensikblog.de/files/evtx/EvtxParser-current.zip
2. 解凍
解凍すると以下の構成になる。
evtxtools-1.0.6\CHANGELOG.txt evtxtools-1.0.6\evtxdump.pl evtxtools-1.0.6\evtxinfo.pl evtxtools-1.0.6\evtxsort.xsl evtxtools-1.0.6\evtxtemplates.pl evtxtools-1.0.6\gpl-2.0.txt evtxtools-1.0.6\README.txt evtxtools-1.0.6\lib\Parse\Evtx.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode.pm evtxtools-1.0.6\lib\Parse\Evtx\Chunk.pm evtxtools-1.0.6\lib\Parse\Evtx\Const.pm evtxtools-1.0.6\lib\Parse\Evtx\Event.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\NameString.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x00.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x01.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x02.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x03.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x04.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x05.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x06.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x0c.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x0d.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x0e.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Node0x0f.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Root.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\SubstArray.pm evtxtools-1.0.6\lib\Parse\Evtx\BXmlNode\Template.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x00.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x01.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x02.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x03.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x04.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x05.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x06.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x07.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x08.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x09.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x0a.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x0b.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x0c.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x0d.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x0e.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x0f.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x10.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x11.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x12.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x13.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x14.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x15.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x21.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x81.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x94.pm evtxtools-1.0.6\lib\Parse\Evtx\VariantType\Type0x95.pm
4. 依存ライブラリをインストール
perl -MCPAN -e shell cpan>install Digest::CRC cpan>install Digest::Crc32 cpan>install Carp::Assert cpan>install Data::Hexify cpan>install DateTime
あれ?? DateTimeでエラー
cpan>force install Datetime cpan>install Datetime::TimeZone
まだ、だめだ。
CPAN.pm: Going to build D/DR/DROLSKY/DateTime-TimeZone-1.22.tar.gz Set up gcc environment - 3.4.5 (mingw-vista special r3) Checking if your kit is complete... Looks good Writing Makefile for DateTime::TimeZone dmake.exe: makefile: line 1323: Error: -- Input line too long, increase MAXLINELENGTH DROLSKY/DateTime-TimeZone-1.22.tar.gz C:\usr\opt\perl\site\bin\dmake.exe -- NOT OK Running make test Can't test without successful make Running make install Make had returned bad status, install seems impossible
makefileの行数が長すぎるってこと??
どうすればいいんだ?
試す前にここで止まった。。。
続き
Windows XPで新しいイベントログ(*.evtx)を読むツール(動作した)
サーバ/インフラエンジニア養成読本 管理/監視編 [24時間365日稼働を支える知恵と知識が満載!] (Software Design plus)