CN116450885B - 一种Windows事件日志文件的数据重构方法 - Google Patents

一种Windows事件日志文件的数据重构方法 Download PDF

Info

Publication number
CN116450885B
CN116450885B CN202310112341.7A CN202310112341A CN116450885B CN 116450885 B CN116450885 B CN 116450885B CN 202310112341 A CN202310112341 A CN 202310112341A CN 116450885 B CN116450885 B CN 116450885B
Authority
CN
China
Prior art keywords
event
windows
file
data
files
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310112341.7A
Other languages
English (en)
Other versions
CN116450885A (zh
Inventor
徐志强
胡壮
徐富达
刘景明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Xingbaibang Technology Co ltd
Original Assignee
Xiamen Xingbaibang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Xingbaibang Technology Co ltd filed Critical Xiamen Xingbaibang Technology Co ltd
Priority to CN202310112341.7A priority Critical patent/CN116450885B/zh
Publication of CN116450885A publication Critical patent/CN116450885A/zh
Application granted granted Critical
Publication of CN116450885B publication Critical patent/CN116450885B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/80Information retrieval; Database structures therefor; File system structures therefor of semi-structured data, e.g. markup language structured data such as SGML, XML or HTML
    • G06F16/84Mapping; Conversion
    • G06F16/86Mapping to a database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/80Information retrieval; Database structures therefor; File system structures therefor of semi-structured data, e.g. markup language structured data such as SGML, XML or HTML
    • G06F16/84Mapping; Conversion
    • G06F16/88Mark-up to mark-up conversion
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种Windows事件日志的完整数据重构方法,收集Windows操作系统的注册表文件和事件日志关联的资源文件,自动将嵌入在资源文件中的信息进行提取,建立Windows事件消息基础信息库;将EVTX事件日志文件转化为XML文件,通过关键属性从事件消息基础信息库进行检索相应的事件消息,解析事件参数、事件类别对应的信息,并将基础信息库中的变量与XML数据结构中的EventData数据项按次序进行消息重组,最终输出完整的事件日志信息记录,实现与Windows事件查看器解析事件日志完整内容一致的结果。本发明的优点:读取SYSTEM注册表文件中的相关配置,自动识别Windows系统的版本和语言设置;建立较为完整的多国语言的Windows事件消息基础信息库。

Description

一种Windows事件日志文件的数据重构方法
技术领域
本发明涉及一种Windows事件日志文件的数据重构方法,属于信息安全、电子数据取证技术领域。
背景技术
Windows事件日志(Event Log)是Windows操作系统内置的一种日志记录系统,它记录了Windows操作系统自身运行过程产生的相关事件,也记录了使用者对操作系统进行的各种操作行为事件。不管计算机安装的是客户端操作系统(Windows 2000及后续版本Windows 11)还是服务器版操作系统(如Windows 2000Server、Windows 2016Server),均内置了Windows事件日志系统。事件日志系统是以服务的形式自动启动,记录了系统从开机到关机期间所有的相关系统运行信息及用户操作行为。Windows事件日志通常是由多个数据文件组成,早期Windows版本事件日志以EVT格式进行保存,文件扩展名为EVT。WindowsVista和Windows Server 2008及后续版本采用了EVTX格式进行保存,文件扩展名为EVTX。
在涉及网络空间安全的事件应急响应调查(如黑客入侵、数据泄密等安全事件)以及电子数据类案件取证中,往往需要对Windows操作系统的事件日志进行提取和分析,从中检查发现可疑、异常的相关安全事件,并通过分析了解事件的发生的起源、过程及相关信息,梳理整个事件的来龙去脉,还原事件的相关客观事实。
现有技术存在以下缺点:
1、现有日志分析工具或计算机取证分析软件无法完整重构Windows事件日志内容,单独对EVTX日志文件进行数据解析,其解析出来的事件信息并不完整,导致事件信息不全,内容无法理解,且无法重现与Windows内置的事件查看器一样的信息内容。
2、Windows操作系统自身的事件日志查看器工具可以打开EVTX格式事件日志文件,可以较好地读取和解析内容,但通常低版本的Windows系统内置的事件查看器无法正常解析高版本的系统产生的EVTX事件日志。此外,Windows事件查看器也无法展示EVTX日志文件所记录的全部内容,如每条事件记录均有事件记录编号(Event Record ID)。因此Windows事件日志查看器在一些司法取证中也存在缺陷,难以满足电子数据取证分析的要求。
发明内容
本发明要解决的技术问题,在于提供一种Windows事件日志文件的数据重构方法,可准确重组Windows事件日志的完整信息,让事件日志记录内容可阅读,方便数据分析人员对完整数据进行查看和分析。
本发明通过下述方案实现:一种Windows事件日志文件的数据重构方法,其包括以下步骤:
步骤一、收集Windows操作系统注册表文件及事件日志关联的资源文件(DLL/MUI/EXE);
步骤二、读取Windows系统注册表文件SYSTEM,自动判断操作系统的版本及语言,并解析出各事件类型对应的配置信息(即EventMessageFile、ParameterMessageFile和CategoryMessageFile键值对应的数据);读取注册表文件SAM,解析出用户名及对应的SID信息;
步骤三、将嵌入在资源文件中的事件信息内容导出为csv文件或导入数据库,建立一个多国语言版本的事件消息基础信息库;
步骤四、将所有事件消息表按语言版本进行分类,并对消息表中的内容进行内容清洗;
步骤五、读取待分析计算机硬盘中的事件日志记录目录,遍历所有EVTX文件,转换为XML文件;
步骤六、逐一读取事件记录对应的XML文件内容,将共同的属性字段进行解析,并将事件类别、事件参数等数据属性进行映射转换;
步骤七、读取事件ID的数值,检索事件消息基础信息库中其对应的事件消息内容,并将其中的变量进行逐一替换为XML文件中的实际数据信息。
所述步骤一中的Windows操作系统包括客户端系统(Vista、Windows 7、Windows8/8.1、Windows 10及Windows 11)及服务端系统(Windows Server2008/2012/2016/2019/2022)。
所述步骤三中信息内容包含系统语言、操作系统版本、事件来源、事件编号(EventID)、事件类别、事件参数、事件消息内容在内的消息基础库,清洗后形成标准规范的csv文件或直接存储到本地数据库文件,并分别建立多国语言版本的事件类别和事件参数信息库。
所述步骤七中的变量为%1,%2,%3...%n,其中%1对应第一个变量,%2对应第二个变量,%3对应第三个变量...%n对应第n个变量。
所述步骤七中将XML文件中所嵌入的<System>...</System>和<UserData>...</UserData>区间包含的各个属性以及<EventData>...</EventData>区间包含的各个<DataName>属性与变量(%1,%2,..%n)按顺序逐一映射。
事件记录的信息重组包括共同属性解析、事件类别解析、事件参数解析、安全标识符SID字符串及系统帐户名称映射、基础信息库中事件消息字符串提取、XML文件中数据属性值与变量按顺序逐一映射。
所述共同属性解析包括事件编号ID、来源、用户、任务类别、版本、级别、关键字、操作代码、事件记录创建时间和计算机名称,所述消息基础库可以根据事件类别及事件记录编号查询事件日志记录。
所述步骤一收集事件记录信息文件,并通过程序将嵌入在资源文件中的事件信息、事件类别、事件参数等信息进行数据提取和清洗,并建立事件消息基础信息库,所述事件记录信息文件EVTX抽取为独立XML文件。
所述步骤五还能够读取内存物理镜像文件或计算机硬盘的未分配空间,根据EVTX文件的内部结构特征对删除的EVTX数据片段进行恢复提取,并转化为XML文件。
所述步骤五、步骤六和步骤七还能够对计算机物理内存镜像、磁盘中已删除的Windows事件日志数据进行恢复提取,并自动进行事件日志信息重构。
本发明的有益效果为:
1、本发明一种Windows事件日志文件的数据重构方法可准确重组Windows事件日志的完整信息,让事件日志记录内容可阅读,方便数据分析人员对完整数据进行查看和分析;
2、本发明一种Windows事件日志文件的数据重构方法在无法获得Windows操作系统的系统盘数据,只提供事件日志记录文件的情况下,也可以选择语言版本后,自动通过基础数据库中的事件日志来源及记录编号(ID)准确解析事件日志内容信息;
3、本发明一种Windows事件日志文件的数据重构方法通过读取Windows操作系统注册表配置,获取操作系统语言版本(如中文、英文等),并自动对指向的资源文件(DLL/MUI/EXE)中的事件消息、事件类别、事件参数等内容的进行提取,形成一个较为完整的多国语言事件消息基础信息库;
4、本发明一种Windows事件日志文件的数据重构方法实现了Windows事件日志EVTX格式文件的完整数据内容重组,最关键的是将事件日志中的<System>和<EventData>包含的各个数据属性及内容,从无法理解的信息转换为可阅读的事件记录内容,并补充了Windows事件日志查看器或其它现有事件日志分析工具没有解析的部分属性;
5、本发明一种Windows事件日志文件的数据重构方法还可以实现对计算机物理内存镜像及磁盘未分配空间的EVTX删除记录恢复,并对完整或残缺的Windows事件日志数据进行事件日志数据重构;
6、本发明一种Windows事件日志文件的数据重构方法通过对资源文件(DLL/MUI/EXE)中的MessageTable中存储数据的研究和测试,对其中包含的变量和标记符合进行解析,完全重现与Windows事件查看器事件记录属性信息及事件内容的展示效果,方便数据分析人员进行查看和分析。
附图说明
图1-2为步骤二的示例图。
图3为步骤三的示例图。
图4为步骤四的示例图。
图5-6为实施例1的示例图。
图7-8为实施例2的示例图。
具体实施方式
下面结合附图1-8对本发明进一步说明,但本发明保护范围不局限所述内容。
为了清楚,不描述实际实施例的全部特征,在下列描述中,不详细描述公知的功能和结构,因为它们会使本发明由于不必要的细节而混乱,应当认为在任何实际实施例的开发中,必须做出大量实施细节以实现开发者的特定目标,例如按照有关系统或有关商业的限制,由一个实施例改变为另一个实施例,另外,应当认为这种开发工作可能是复杂和耗费时间的,但是对于本领域技术人员来说仅仅是常规工作。
一种Windows事件日志文件的数据重构方法,其包括以下步骤:
步骤一、收集Vista、Windows 7、Windows 8/8.1、Windows 10、Windows 11、Windows Server 2008/2012/2016/2019等操作系统注册表文件及相关资源文件(DLL/MUI/EXE)。
步骤二、读取Windows系统注册表文件SYSTEM(通常默认%SystemRoot%\system32\config\),并尝试读取和解析注册成内容,解析出\CurrentControlSet\Services\EventLog下各类型事件记录的EventMessageFile、ParameterMessageFile和CategoryMessageFile记录的资源文件(DLL/MUI/EXE),如%SystemRoot%\system32\adtschema.dll及adtschema.dll.mui;如附图1或附图2所示。读取注册表文件SAM,解析出用户名及对应的SID信息;
步骤三、将嵌入在资源文件中的事件消息、事件类别及事件参数等信息内容导出为csv或文本文件,并判断语言版本;如附图3所示;
步骤四、将所有消息表按语言版本进行分类,并对消息表中的内容进行内容清洗,包含事件日志类别、事件ID、事件描述等数据信息,并形成标准规范的csv文件或直接存储到本地数据库文件;如附图4所示;
步骤五、对读取待分析计算机硬盘中的事件日志记录目录Windows\System32\Winevt\Logs,遍历所有EVTX文件,转换为XML文件;或者读取内存物理镜像文件或计算机硬盘的未分配空间,根据EVTX文件的内部结构特征对删除的EVTX数据片段进行恢复提取,并转化为XML文件;
步骤六、逐一读取事件记录对应的XML文件内容,将共同的属性字段进行解析,并将带有SID值的数据属性进行映射转化,转化为用户名称;
步骤七、读取EventID的数值,检索csv或数据库中其对应的字符串信息,并将其中的变量(%1,%2,%3...%n)进行逐一替换为XML文件中的实际数据信息,通常需将XML文件中所有<System>...</System>和<UserData>...</UserData>区间包含的各个属性以及<EventData>...</EventData>区间包含的各个<Data Name>属性与变量(%1,%2,..%n)按顺序逐一映射。
0xB0000015,"远程桌面服务:会话登录成功:%n%n用户:%1%n会话ID:%2%n源网络地址:%3\r\n"
-<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
-<System>
<Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager"Guid="{5d896912-022d-40aa-a3a8-4fa5515c76d7}"/>
<EventID>21</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x1000000000000000</Keywords>
<TimeCreated SystemTime="2021-05-03T02:45:06.6531230Z"/>
<EventRecordID>1815</EventRecordID>
<Correlation ActivityID="{61a55000-55e5-1017-0000-000000000000}"/>
<Execution ProcessID="1440"ThreadID="73764"/>
<Channel>Microsoft-Windows-TerminalServices-LocalSessionManager/Operational</Channel>
<Computer>LAPTOP-4U24KF6G</Computer>
<Security UserID="S-1-5-18"/>
</System>
-<UserData>
-<EventXML xmlns="Event_NS">
<User>LAPTOP-4U24KF6G\user</User>
<SessionID>3</SessionID>
<Address>本地</Address>
</EventXML>
</UserData>
</Event>
解析后的结果:
来源:Microsoft-Windows-TerminalServices-LocalSessionManager
GUID:{5d896912-022d-40aa-a3a8-4fa5515c76d7}
事件ID:21
事件记录ID:1815
记录时间:2021/5/3 10:45:06
计算机:LAPTOP-4U24KF6G
用户:SYTEM
用户SID:S-1-5-18
级别:信息(4)
进程ID:1440
线程ID:73764
操作代码:信息(0)
任务类别:
关键字:
事件内容:
远程桌面服务:会话登录成功:
用户:LAPTOP-4U24KF6G\user
会话ID:3
源网络地址:本地
实施例1:0x1200,"Windows正在启动。%n%n当LSASS.EXE启动且审核子系统进行初始化时,会记录此事件。\r\n"。如图5所示。
第一列以0x前缀开始,表示该数值为十六进制,例如0x1200转化为十进制数值为4608。
在Windows系统中使用内置的事件日志查看器(Event Viewer)进行查看,过滤出所有EventID为4608的事件日志,通过查看器查解析出来的信息与MessageTable中的一致,其中。%n为换行,\r\n为回车换行。如图6所示。
实施例2:0x1210,"已成功登录帐户。%n%n使用者:%n%t安全ID:%t%t%1%n%t帐户名称:%t%t%2%n%t帐户域:%t%t%3%n%t登录ID:%t%t%4%n%n登录信息:%n%t登录类型:%t%t%9%n%t受限制的管理员模式:%t%22%n%t虚拟帐户:%t%t%25%n%t提升的令牌:%t%t%27%n%n模拟级别:%t%t%21%n%n新登录:%n%t安全ID:%t%t%5%n%t帐户名称:%t%t%6%n%t帐户域:%t%t%7%n%t登录ID:%t%t%8%n%t链接的登录ID:%t%t%26%n%t网络帐户名称:%t%23%n%t网络帐户域:%t%24%n%t登录GUID:%t%t%13%n%n进程信息:%n%t进程ID:%t%t%17%n%t进程名称:%t%t%18%n%n网络信息:%n%t工作站名称:%t%12%n%t源网络地址:%t%19%n%t源端口:%t%t%20%n%n详细的身份验证信息:%n%t登录进程:%t%t%10%n%t身份验证数据包:%t%11%n%t传递的服务:%t%14%n%t数据包名(仅限NTLM):%t%15%n%t密钥长度:%t%t%16%n%n创建登录会话时,将在被访问的计算机上生成此事件。%n%n“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如Server服务)或本地进程(例如Winlogon.exe或Services.exe)。%n%n“登录类型”字段指示发生的登录类型。最常见的类型是2(交互式)和3(网络)。%n%n“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。%n%n“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。%n%n“模拟级别”字段指示登录会话中的进程可以模拟到的程度。%n%n“身份验证信息”字段提供有关此特定登录请求的详细信息。%n%t-“登录GUID”是可用于将此事件与KDC事件关联起来的唯一标识符。%n%t-“传递的服务”指示哪些中间服务参与了此登录请求。%n%t-“数据包名”指示在NTLM协议中使用了哪些子协议。%n%t-“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为0。\r\n"。如图7-8所示。
解析:其中%t代表1个Tab符,%n代表1个换行,%1代表第一个变量,需与事件日志记录中的<Data Name></Data>第一个数据名称的值进行匹配。%2代表第二个变量则对应第二个数据名称的值。
尽管已经对本发明的技术方案做了较为详细的阐述和列举,应当理解,对于本领域技术人员来说,对上述实施例做出修改或者采用等同的替代方案,这对本领域的技术人员而言是显而易见,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (8)

1.一种Windows事件日志文件的数据重构方法,其特征在于:其包括以下步骤:
步骤一、收集Windows操作系统注册表文件及事件日志关联的资源文件;
步骤二、读取Windows系统注册表文件SYSTEM,自动判断操作系统的版本及语言,并解析出各事件类型对应的配置信息;读取注册表文件SAM,解析出用户名及对应的SID信息;
步骤三、将嵌入在资源文件中的事件信息内容导出为csv文件或导入数据库,建立一个多国语言版本的事件消息基础信息库;
步骤四、将所有事件消息表按语言版本进行分类,并对消息表中的内容进行内容清洗;
步骤五、读取待分析计算机硬盘中的事件日志记录目录,遍历所有EVTX文件,转换为XML文件;
步骤六、逐一读取事件记录对应的XML文件内容,将共同的属性字段进行解析,并将事件类别、事件参数的数据属性进行映射转换;
步骤七、读取事件ID的数值,检索事件消息基础信息库中其对应的事件消息内容,并将其中的变量进行逐一替换为XML文件中的实际数据信息,所述事件记录的信息重组包括共同属性解析、事件类别解析、事件参数解析、安全标识符SID字符串及系统账号名称映射、基础信息库中事件消息字符串提取、XML文件中数据属性值与变量按顺序逐一映射,所述共同属性解析包括事件ID、来源、用户、任务类别、版本、级别、关键字、操作代码、事件记录创建时间和计算机名称,所述事件类别和事件参数信息库可检索事件类别及事件参数对应的详细内容。
2.根据权利要求1所述的一种Windows事件日志文件的数据重构方法,其特征在于:所述步骤一中的Windows操作系统包括客户端系统及服务端系统。
3.根据权利要求1所述的一种Windows事件日志文件的数据重构方法,其特征在于:所述步骤三中信息内容包含系统语言、操作系统版本、事件来源、事件ID、事件类别、事件参数、事件消息内容在内的基础信息库,清洗后形成标准规范的csv文件或直接存储到本地数据库,并分别建立多国语言版本的事件类别和事件参数信息库。
4.根据权利要求1所述的一种Windows事件日志文件的数据重构方法,其特征在于:所述步骤七中的变量为%1,%2,%3...%n,其中%1对应第一个变量,%2对应第二个变量,%3对应第三个变量...%n对应第n个变量。
5.根据权利要求4所述的一种Windows事件日志文件的数据重构方法,其特征在于:所述步骤七中将XML文件中所嵌入的<System>...</System>和<UserData>...</UserData>区间包含的各个属性以及<EventData>...</EventData>区间包含的各个<Data Name>属性与变量(%1,%2,..%n)按顺序逐一映射。
6.根据权利要求1所述的一种Windows事件日志文件的数据重构方法,其特征在于:所述步骤一收集事件记录信息文件,并通过程序将嵌入在资源文件中的事件信息、事件类别、事件参数进行数据提取和清洗,并建立事件消息基础信息库,所述事件记录信息文件EVTX抽取为独立XML文件。
7.根据权利要求1所述的一种Windows事件日志文件的数据重构方法,其特征在于:所述步骤五还能够读取内存物理镜像文件或计算机硬盘的未分配空间,根据EVTX文件的内部结构特征对删除的EVTX数据片段进行恢复提取,并转化为XML文件。
8.根据权利要求7所述的一种Windows事件日志文件的数据重构方法,其特征在于:所述步骤五、步骤六和步骤七还能够对计算机物理内存镜像、磁盘中已删除的Windows事件日志数据进行恢复提取,并自动进行事件日志信息重构。
CN202310112341.7A 2023-02-14 2023-02-14 一种Windows事件日志文件的数据重构方法 Active CN116450885B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310112341.7A CN116450885B (zh) 2023-02-14 2023-02-14 一种Windows事件日志文件的数据重构方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310112341.7A CN116450885B (zh) 2023-02-14 2023-02-14 一种Windows事件日志文件的数据重构方法

Publications (2)

Publication Number Publication Date
CN116450885A CN116450885A (zh) 2023-07-18
CN116450885B true CN116450885B (zh) 2024-05-03

Family

ID=87134411

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310112341.7A Active CN116450885B (zh) 2023-02-14 2023-02-14 一种Windows事件日志文件的数据重构方法

Country Status (1)

Country Link
CN (1) CN116450885B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6158019A (en) * 1996-12-15 2000-12-05 Delta-Tek Research, Inc. System and apparatus for merging a write event journal and an original storage to produce an updated storage using an event map
KR100857036B1 (ko) * 2007-04-20 2008-09-05 (주)엔텔스 과금 시스템에서 트랜잭션 로그 파일을 이용한 장애 복구방법 및 그 장치
US8086650B1 (en) * 2007-06-15 2011-12-27 Ipswitch, Inc. Method for transforming and consolidating fields in log records from logs generated on different operating systems
US8918371B1 (en) * 2014-05-27 2014-12-23 Flexera Software Llc Systems and methods for event log compensation
CN106371953A (zh) * 2015-07-22 2017-02-01 奥普塔姆软件股份有限公司 紧凑二进制事件日志生成
CN106789195A (zh) * 2016-12-02 2017-05-31 华为技术有限公司 一种事件处理方法及网管设备、服务器
CN113569234A (zh) * 2021-06-17 2021-10-29 南京大学 一种用于安卓攻击场景重建的可视化取证系统及实现方法
CN114915479A (zh) * 2022-05-18 2022-08-16 中国科学院信息工程研究所 一种基于Web日志的Web攻击阶段分析方法及系统
CN115129494A (zh) * 2022-08-31 2022-09-30 浙江工业大学 一种基于Windows内核的事件日志采集方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040254919A1 (en) * 2003-06-13 2004-12-16 Microsoft Corporation Log parser
US8126874B2 (en) * 2006-05-09 2012-02-28 Google Inc. Systems and methods for generating statistics from search engine query logs
US20080256142A1 (en) * 2007-04-10 2008-10-16 Apertio Limited Journaling in network data architectures
US11190420B2 (en) * 2018-10-31 2021-11-30 Salesforce.Com, Inc. Generating events from host based logging for consumption by a network logging host
US20220066998A1 (en) * 2020-08-26 2022-03-03 Vmware, Inc. Methods and systems that identify computational-entity transactions and corresponding log/event-message traces from streams and/or collections of log/event messages

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6158019A (en) * 1996-12-15 2000-12-05 Delta-Tek Research, Inc. System and apparatus for merging a write event journal and an original storage to produce an updated storage using an event map
KR100857036B1 (ko) * 2007-04-20 2008-09-05 (주)엔텔스 과금 시스템에서 트랜잭션 로그 파일을 이용한 장애 복구방법 및 그 장치
US8086650B1 (en) * 2007-06-15 2011-12-27 Ipswitch, Inc. Method for transforming and consolidating fields in log records from logs generated on different operating systems
US8918371B1 (en) * 2014-05-27 2014-12-23 Flexera Software Llc Systems and methods for event log compensation
CN106371953A (zh) * 2015-07-22 2017-02-01 奥普塔姆软件股份有限公司 紧凑二进制事件日志生成
CN106789195A (zh) * 2016-12-02 2017-05-31 华为技术有限公司 一种事件处理方法及网管设备、服务器
CN113569234A (zh) * 2021-06-17 2021-10-29 南京大学 一种用于安卓攻击场景重建的可视化取证系统及实现方法
CN114915479A (zh) * 2022-05-18 2022-08-16 中国科学院信息工程研究所 一种基于Web日志的Web攻击阶段分析方法及系统
CN115129494A (zh) * 2022-08-31 2022-09-30 浙江工业大学 一种基于Windows内核的事件日志采集方法及系统

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
A formal model for event reconstruction in digital forensic investigation;Soltani S 等;Digital Investigation;20190930;148-160 *
Hemdan 等.Spark-based log data analysis for reconstruction of cybercrime events in cloud environment.2017 Internatioanl Conference on Circuit,Power and Computing Technologies(ICCPCT).2017,1-8. *
Windows Vista系统日志文件格式分析及数据恢复;王伟;杨永川;;计算机安全;20090415(第04期);122-125 *
Windows Vista系统日志雕复方法研究与实现;楼永坚;王鹏;;杭州电子科技大学学报;20110215(第01期);58-61 *
一种基于日志关联分析的取证模型;周建华;;计算机时代;20071002(第10期);28-30 *
网络安全日志可视化取证分析系统设计与实现;唐新宇;《中国优秀硕士学位论文全文数据库·信息科技辑》;20180815(第 08 期);1-64 *

Also Published As

Publication number Publication date
CN116450885A (zh) 2023-07-18

Similar Documents

Publication Publication Date Title
CN108664375B (zh) 用于检测计算机网络系统用户的异常行为的方法
US9633106B1 (en) Log data analysis
Cohen et al. Capturing, indexing, clustering, and retrieving system history
US8554740B2 (en) Recording a log of operations
Aharon et al. One graph is worth a thousand logs: Uncovering hidden structures in massive system event logs
US20070100994A1 (en) Modeling Interactions with a Computer System
US20140013302A1 (en) Log configuration of distributed applications
CN103888490A (zh) 一种全自动的web客户端人机识别的方法
US7908239B2 (en) System for storing event data using a sum calculator that sums the cubes and squares of events
CN111638908A (zh) 接口文档生成方法、装置、电子设备及介质
CN108040045B (zh) 访问流量文件的生成方法、装置、服务器及存储介质
JP5102556B2 (ja) ログ解析支援装置
US7451145B1 (en) Method and apparatus for recursively analyzing log file data in a network
CN116450885B (zh) 一种Windows事件日志文件的数据重构方法
Barakat et al. Windows forensic investigations using powerforensics tool
JP5102555B2 (ja) ログ解析支援装置
CN114422341B (zh) 一种基于指纹特征的工控资产识别方法及系统
JP2007200047A (ja) アクセスログ表示システムおよび方法
Margulies A developer's guide to audit logging
JP5061316B1 (ja) 通信パケット解析装置
CN111459756A (zh) 一种日志处理方法及相关设备
CN117312175B (zh) 数据处理方法、装置、计算机设备及存储介质
Kävrestad et al. Collecting Data
Good AutoProv: An Automated File Provenance Collection Tool
JP5069057B2 (ja) ログ解析支援装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40087946

Country of ref document: HK

CB02 Change of applicant information
CB02 Change of applicant information

Address after: Unit 703, F14 Building, No. 1110 Jimei North Avenue, Software Park Phase III, Xiamen Torch High tech Zone, Xiamen, Fujian Province, 361000

Applicant after: Xiamen xingbaibang Technology Co.,Ltd.

Address before: 363, unit 3, Yicheng street, Xiamen, Fujian Province

Applicant before: Xiamen xingbaibang Technology Co.,Ltd.

CB02 Change of applicant information
CB02 Change of applicant information

Country or region after: China

Address after: Unit 703, F14 Building, No. 1110 Jimei North Avenue, Software Park Phase III, Xiamen Torch High tech Zone, Xiamen City, Fujian Province, 361000 (legal document delivery address)

Applicant after: Xiamen xingbaibang Technology Co.,Ltd.

Address before: Unit 703, F14 Building, No. 1110 Jimei North Avenue, Software Park Phase III, Xiamen Torch High tech Zone, Xiamen, Fujian Province, 361000

Applicant before: Xiamen xingbaibang Technology Co.,Ltd.

Country or region before: China

GR01 Patent grant
GR01 Patent grant