セキュリティ
PR

CDIR Collectorで保全したデータのタイムラインを取得してみた

kawa.xxx
記事内に商品プロモーションを含む場合があります

環境

  • Windows 10
  • CDIR Collector v1.1
  • log2timeline (plaso)

CDIR Collector で保全したデータを解析する

前回の データ保全ツール CDIR Collector を使ってみた で CDIR Collector を使ってデータの保全をしました。

イベントログはそのまま Windows 標準のイベントビューアに取り込むことが出来ます.

しかし、解析時には時系列に何が起きたのかを知ることが重要なので、 plaso(log2timeline) を使ってタイムラインを生成してみたいと思います。

log2timeline を使用してタイムラインを生成する

log2timeline はメモリダンプとハッシュの記録されたファイルは解析できないため一旦別の場所に退避させます。

$ log2timeline.exe c:\cdir-collector\timeline.plaso c:\cdir-collector\test

前回の保全データを使用して解析してみましたが、かなりの時間がかかりました。1,2時間じゃ終わらなかったです。

しかもなんか一件エラーでてるみたいです。

f:id:kawa_xxx:20161016231343p:plain

とりあえず次に進みましょう。以下のコマンドで期間を指定して、時系列順に出力させます。

psort.exe -o l2tcsv -z Asia/Tokyo -w C:\cdir-collector\timeline.csv C:\cdir-collector\timeline.plaso "date > '2016-1-01 00:00:00' and date < '2016-10-2 15:50:00'"

ちょっと範囲を広くしすぎたのか、これも結構時間かかり、 csv 形式で 50MB 近いファイルが出力されました。

そして、Excel だと全部読み込めないという状態です。 しかも内容を見てもなんだか全くわからない。

f:id:kawa_xxx:20161016231427p:plain

ちょっとずつ理解出来るように勉強していきます。。

つづく。

参考文献

ABOUT ME
kawa.xxx
都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティ、カメラの話題が中心です。
記事URLをコピーしました