Перейти к основному содержимому
Версия: 4.5.X

evtx

Плагин evtx входит в состав YAML плагинов processors и позволяет нормализовывать события Windows Event Log в формате XML (кратко этот формат называется evtx). Подобный функционал неявно используется в WMI-агенте, поэтому применение данного плагина, помимо парсинга событий из прочих Windows-источников, также полезно при проверке плагинов, предназначенных для WMI-агента.

Плагин поддерживает эвристический анализ.

Конфигурация

В состав конфигурации плагина evtx входят поля:

  • from - поле, к которому применяется плагин. По умолчанию - "Raw".
  • provider - имя источника событий (указано в поле "Источник" события в приложении "Просмотр событий"). Если указано, то для парсинга события используется именно оно - в зависимости от источника могут добавляться/изменяться поля. Иначе определяется динамически.

Пример событий

Операция чтения сохраненных учетных данных в диспетчере учетных данных

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>5379</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>13824</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2024-06-26T07:34:07.9997865Z" />
    <EventRecordID>88479011</EventRecordID>
    <Correlation ActivityID="{160c69ad-bc31-0001-0d6a-0c1631bcda01}" />
    <Execution ProcessID="1008" ThreadID="1552" />
    <Channel>Security</Channel>
    <Computer>test-win10-scan.scanner.lan</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-21-1404950420-2770417354-2175048974-1001</Data>
    <Data Name="SubjectUserName">Windows10</Data>
    <Data Name="SubjectDomainName">TEST-WIN10-SCAN</Data>
    <Data Name="SubjectLogonId">0x62ba919</Data>
    <Data Name="TargetName">MicrosoftAccount:user=02dxrugsqivmgdvo</Data>
    <Data Name="Type">0</Data>
    <Data Name="CountOfCredentialsReturned">0</Data>
    <Data Name="ReadOperation">%%8100</Data>
    <Data Name="ReturnCode">3221226021</Data>
    <Data Name="ProcessCreationTime">2024-06-26T07:34:07.1877374Z</Data>
    <Data Name="ClientProcessId">14684</Data>
  </EventData>
</Event>

Получение примеров прочих событий

Чтобы получить XML-события, в "Просмотре событий" нажмите правой кнопкой на событие и выберите КопироватьКопировать сведения как текст. В скопированном тексте помимо прочего также будет само событие в формате XML.

Последнее обновление