Windows Event Log & FullEventLogView

LOG 是监识调查中重要的东西，透过 LOG 才能看到骇客的轨迹，当然骇客的行为难以捉摸，也会遇到知道被打但是什麽都没有没办法看的窘境，这边就站不讨论。
接下来的文章主要是想要好好学习各种工具及应用，以 Nirsoft 这网站里面每个工具为目标来研究学习。

进入第一个工具：FullEventLogView

适用系统环境：Windows 10/8/7/Vista
（如需使用XP或更旧版的请用 MyEventViewer tool ）

用途：

• 可在视窗中显示 Windows 事件检视器中所有 LOG 的详细资讯。
• 可以用於看本机的 LOG 、网络上远端的 LOG 以及存在 .evtx 文件中的 LOG
• 可以从 GUI 和 cmd 中将 LOG 列表导出到 text/csv/tab-delimited/html/xml 档案格式。

使用方式：
它不需要任何安装过程直接执行 FullEventLogView.exe 即可。
开启後会自动载入过去 7 天的所有 LOG 。另外，可以用 fn + F9 开启高级选项视窗，更改设定与筛选器（如下图）。

若要汇入 .evtx LOG 档案，或是查看远端电脑的 EventLog 就按 fn + F7 ，跳出如下的视窗可做选择。

显示资料模式选择：

Options > Lower Pane Display Mode >
可以选择下方视窗要显示 log 的模式。

两种重新整理模式：

• F5 : 就是重新整理
• F8 : 官网写温柔的重新整理XD 就是只有新增从上次重新整理後建立的新 LOG 。

自动重新整理：
Options -> Auto Refresh -> Every x seconds
设定每 Ｘ 秒自动重新整理，做动态分析的时候很好用吧！

用管理员权限执行：
预设情况下不会使用管理员权限执行此工具，如果想要看安全层级的 LOG ，就要用高权限执行。在一开始执行程序时右键选择使用管理员权限执行或是在执行当中按 fn+Ctrl+F11。

还可以使用 cmd 使用，时间关系之後再补充XD。