evtx-file
EVTX(Windows XML Event Log)形式のWindowsイベントログファイルを解析してレコードを取得します。イベントログに含まれるシステム情報、イベントデータ、メッセージなどを構造化されたフィールドに変換して出力します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | カウントあり |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
オプション
zippath=STR- EVTXファイルが含まれるZIPファイルのパス。ZIPファイル内のEVTXファイルを直接取得する場合に使用します。
zipcharset=STR- ZIPファイルエントリの文字セット(デフォルト:
utf-8)
対象
FILE_PATH- 取得するEVTXファイルのパス。ワイルドカード(
*)を使用して複数のファイルを指定できます。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
_file | string | EVTXファイル名 |
_time | timestamp | イベント生成日時 |
computer | string | イベントを生成したコンピューター名 |
channel | string | イベントチャネル名(例: System、Security、Application) |
provider | string | イベントプロバイダー名 |
event_id | long | イベント識別子 |
task | long | イベントタスクカテゴリ |
level | long | イベント重大度。0: 常にログ(LogAlways)、1: 致命的(Critical)、2: エラー(Error)、3: 警告(Warning)、4: 情報(Information)、5: 詳細(Verbose) |
record_id | long | イベントレコード識別子 |
msg | string | イベントメッセージ。イベントプロバイダーとイベント識別子に基づいてメッセージテンプレートを適用した結果 |
event_data | object | イベントデータ。イベントに含まれる詳細データをキーと値のペアで含みます |
エラーコード
解析エラー
N/A
ランタイムエラー
| エラーコード | メッセージ | 説明 | 後処理動作 |
|---|---|---|---|
| - | cannot load evtx file | EVTXファイルを読み取れない場合 | クエリを停止します |
説明
evtx-fileコマンドは、指定したEVTXファイルをバイナリXML形式で解析し、各イベントレコードを構造化されたフィールドに変換します。イベントログのSystem領域からプロバイダー、イベントID、チャネル、コンピューター名などのメタデータを抽出し、EventDataまたはUserData領域からイベントの詳細データを抽出します。
イベントメッセージテンプレートは、組み込みメッセージマップとevtx-messageルックアップテーブルからプロバイダー:イベントID形式のキーで検索します。ルックアップテーブルに登録されたメッセージが組み込みメッセージより優先されます。メッセージテンプレートが存在する場合はイベントデータの値を代入してmsgフィールドに割り当てます。メッセージテンプレートがなくイベントデータが単一値の場合はその値をmsgフィールドに割り当てます。
event_dataフィールドのキー名はキャメルケース(CamelCase)からスネークケース(snake_case)に自動変換されます。例えばSubjectUserNameはsubject_user_nameに変換されます。
ZIPファイル内のEVTXファイルを取得するには、zippathオプションにZIPファイルのパスを指定し、対象にZIP内のEVTXファイルパスを指定します。
使用例
-
EVTXファイルを取得する
evtx-file /opt/logpresso/evidence/System.evtx指定したパスのEVTXファイルからすべてのイベントレコードを取得します。
-
ワイルドカードで複数のEVTXファイルを取得する
evtx-file /opt/logpresso/evidence/*.evtx指定したディレクトリ内のすべてのEVTXファイルからイベントレコードを取得します。
-
ZIPファイル内のEVTXファイルを取得する
evtx-file zippath=/opt/logpresso/evidence/logs.zip System.evtxZIPファイル内の
System.evtxファイルからイベントレコードを取得します。 -
特定のイベントIDをフィルタリングする
evtx-file /opt/logpresso/evidence/Security.evtx | search event_id == 4624セキュリティイベントログからログオン成功イベント(イベントID 4624)のみをフィルタリングします。