Bu dökümanımızda Application Event Logunu analiz edicez ilk olarak event loglar nedir ve application nedir bunlar hakkında bilgi edinelim.
Event log: İşletim sistemleri ve uygulamalar tarafından sistemde gerçekleşen olayların kaydedildiği bir veri günlüğüdür Windows işletim sisteminde olay günlükleri sistemdeki sorunları izlemek, güvenlik açıklarını tespit etmek, performans sorunlarını anlamak ve kullanıcı aktivitelerini takip etmek için kullanılır. her bir olayın kendisine ait event ıd’si bulunur.
Application.evtx: Yüklü uygulamalar tarafından oluşturulan olayları içerir. Örneğin, bir uygulamanın hata verip vermediği buradan takip edilebilir.
Bilgi edindiğimize göre analiz işlemimize geçelim.
İlk olarak FTK Imager ile Application.evtx olay günlüğünü export etmemiz lazım FTK Imageri açıp export işlemimizi sağlıyoruz.
C:\Windows\System32\Winevt\Logs\Application.evtx Yoluna gidiyoruz.
Konumunu belirledikten sonra parse etmek için bazı araçlar var EvtxECmd, Event Logs Explorer gibi bu analiz işleminde Event Logs Explorer kullanacağız.
Event Log Forensics Anlatım Videosu : https://www.youtube.com/watch?v=CnIChEje5bE
0 Yorumlar