読者です 読者をやめる 読者になる 読者になる

かわろぐ

技術、ボルダリング、セキュリティ、その他もろもろ

MENU

CDIR Collectorで保全したデータのタイムラインを取得してみた

環境

  • Windows 10
  • CDIR Collector v1.1
  • log2timeline (plaso)

CDIR Collector で保全したデータを解析する

前回の データ保全ツール CDIR Collector を使ってみた で CDIR Collector を使ってデータの保全をしました。

イベントログはそのまま Windows 標準のイベントビューアに取り込むことが出来ますが、解析時には時系列に何が起きたのかを知ることが重要なので、 plaso(log2timeline) を使ってタイムラインを生成してみたいと思います。

log2timeline を使用してタイムラインを生成する

log2timeline はメモリダンプとハッシュの記録されたファイルは解析できないため一旦別の場所に退避させます。

$ log2timeline.exe c:\cdir-collector\timeline.plaso c:\cdir-collector\test

前回の保全データを使用して解析してみましたが、かなりの時間がかかりました。1,2時間じゃ終わらなかったです。

しかもなんか一件エラーでてるみたいです。

f:id:kawa_xxx:20161016231343p:plain

とりあえず次に進みましょう。以下のコマンドで期間を指定して、時系列順に出力させます。

psort.exe -o l2tcsv -z Asia/Tokyo -w C:\cdir-collector\timeline.csv C:\cdir-collector\timeline.plaso "date > '2016-1-01 00:00:00' and date < '2016-10-2 15:50:00'"

ちょっと範囲を広くしすぎたのか、これも結構時間かかり、 csv 形式で 50MB 近いファイルが出力されました。

そして、Excel だと全部読み込めないという状態です。 しかも内容を見てもなんだか全くわからない。

f:id:kawa_xxx:20161016231427p:plain

ちょっとずつ理解出来るように勉強していきます。。

つづく。

参考文献