TWLogAIAN:Windowsイベントログに対応できた

今朝は４時半から開発開始です。昨日、近くの温泉に行ったので疲れも取れて快調です。
昨日から作っているWindowsイベントログ対応の続きです。evtx形式のファイルから読み込むことは昨日できました。今朝はWindows環境でwevtutilコマンドと使って読み込み処理と作りました。

の応用でわりと簡単にできました。実行した時にコマンドプロンプトのWindowが表示されますが、実況中がわかってよいので、このままにしておきます。

Windowsイベントログ

wevtutilコマンドで取得した時の生のログは、

Windows イベントの生ログ

のような感じでXMLになりますがevtx形式のファイルから読み込んだ時は、

evtx形式のログの場合

のようにJSONになります。統一でいればよいですが、とりあえず、このまま
にしておきます。他によいパッケージを見つけたら考えます。
この開発中に気がついたのですがevtx形式のファイルは妙にサイズが大きいです。

evtx形式のファイルが巨大

Log Analysis Training

で配布しているサンプルのevtx形式のログファイルですが、元のファイルが１．１MB、ZIP圧縮すると２２KB、中身をJSONにすると３３７KBです。
全部読み込めているか不安になりますが、詳しく調べるのは別の機会にします。
ここまでできたので

log-analysis-training/log-analysis_handson-with-note.pdf at master · JPCERTCC/log-analysis-training

のようなログ分析に使えるのかなと思っています。

この開発は、

Windows evtxファイルの読み込みに対応 · twsnmp/TWLogAIAN@c316af2

wevtutilによるログ取得対応　バックエンド側 · twsnmp/TWLogAIAN@bfb7f96

Windowsイベントログに対応、フロント側 · twsnmp/TWLogAIAN@f348477

です。
これで今の時点で思いついたアイデアは全部作ったので、v1.1.0をリリースしようと思います。

明日に続く