CDIR Collectorで保全したデータのタイムラインを取得してみた

環境

• Windows 10
• CDIR Collector v1.1
• log2timeline (plaso)

CDIR Collector で保全したデータを解析する

前回の データ保全ツール CDIR Collector を使ってみた で CDIR Collector を使ってデータの保全をしました。

データ保全ツール CDIR Collector を使ってみた 環境 Windows 10CDIR Collector v1.1 CDIR Collector とは？ サイ...

イベントログはそのまま Windows 標準のイベントビューアに取り込むことが出来ます.

しかし、解析時には時系列に何が起きたのかを知ることが重要なので、 plaso(log2timeline) を使ってタイムラインを生成してみたいと思います。

log2timeline を使用してタイムラインを生成する

log2timeline はメモリダンプとハッシュの記録されたファイルは解析できないため一旦別の場所に退避させます。

$ log2timeline.exe c:\cdir-collector\timeline.plaso c:\cdir-collector\test

前回の保全データを使用して解析してみましたが、かなりの時間がかかりました。1,2時間じゃ終わらなかったです。

しかもなんか一件エラーでてるみたいです。

とりあえず次に進みましょう。以下のコマンドで期間を指定して、時系列順に出力させます。

psort.exe -o l2tcsv -z Asia/Tokyo -w C:\cdir-collector\timeline.csv C:\cdir-collector\timeline.plaso "date > '2016-1-01 00:00:00' and date < '2016-10-2 15:50:00'"

ちょっと範囲を広くしすぎたのか、これも結構時間かかり、 csv 形式で 50MB 近いファイルが出力されました。

そして、Excel だと全部読み込めないという状態です。 しかも内容を見てもなんだか全くわからない。

ちょっとずつ理解出来るように勉強していきます。。

つづく。

参考文献

• http://www.atmarkit.co.jp/ait/articles/1609/30/news005.html

kawa.xxx

XContact

都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティ、カメラの話題が中心です。