معرفی مکانیزم تولید لاگ ETWدر ویندوز و ابزار Logman
ETW (Event Tracking for Windows)
یکی از مکانیزمهای تولید لاگ در ویندوز است که امکان ردیابی جزئی (Detailed) رویدادهای تولید شده توسط سیستم عامل را فراهم میآورد. به بیان دیگر، ETW، لاگهایی است که به کاربر امکان عیب یابی و بررسی دقیق تر یک رخداد را میدهد. با ETW میتوان، جزییات رخدادهای موجود بر روی ویندوز را با اطلاعات کافی دریافت و بررسی کرد. لازمه استفاده از ETW آشنایی با مفاهیمی نظیر Provider، Keyword، Consumer و ... است.
با استفاده از ابزاری به نام Logman، میتوان اطلاعاتی از قبیل مشاهده Provider های موجود در سیستم و اطلاعات مربوط به یک Provider را از ETW دریافت کرد.
علاوه بر موارد ذکر شده میتوان با استفاده از Logman:
• یک Trace session ایجاد کرد.
• اطلاعات Trace session را مشاهده کرد.
• یک Provider از یک Trace session حذف کرد.
• یک Trace session را از بین برد.
• و ...
#soorin
#soc
#security
#eventlog
#logman
#etw
@hypersec
شرکت دانش بنیان سورین
https://soorinsec.ir
ETW (Event Tracking for Windows)
یکی از مکانیزمهای تولید لاگ در ویندوز است که امکان ردیابی جزئی (Detailed) رویدادهای تولید شده توسط سیستم عامل را فراهم میآورد. به بیان دیگر، ETW، لاگهایی است که به کاربر امکان عیب یابی و بررسی دقیق تر یک رخداد را میدهد. با ETW میتوان، جزییات رخدادهای موجود بر روی ویندوز را با اطلاعات کافی دریافت و بررسی کرد. لازمه استفاده از ETW آشنایی با مفاهیمی نظیر Provider، Keyword، Consumer و ... است.
با استفاده از ابزاری به نام Logman، میتوان اطلاعاتی از قبیل مشاهده Provider های موجود در سیستم و اطلاعات مربوط به یک Provider را از ETW دریافت کرد.
علاوه بر موارد ذکر شده میتوان با استفاده از Logman:
• یک Trace session ایجاد کرد.
• اطلاعات Trace session را مشاهده کرد.
• یک Provider از یک Trace session حذف کرد.
• یک Trace session را از بین برد.
• و ...
#soorin
#soc
#security
#eventlog
#logman
#etw
@hypersec
شرکت دانش بنیان سورین
https://soorinsec.ir
👍3