0x00 简介
chainsaw是一款分析windows日志的工具,主要提取日志文件evtx的内容进行分析
0x00 使用
1、项目地址
下载windows版本
2、使用方法
详情看github文档,但是基本上只要用以下命令就够了,日志文件基本在C:\Windows\System32\winevt\Logs\
chainsaw.exe hunt C:\Windows\System32\winevt\Logs\ —rules sigma_rules/ —mapping mapping_files/sigma-mapping.yml —full
可以查看到一些比如4624登录,创建用户等信息,甚至可以查看到日志里记录的powershell、cmd命令,协助溯源。