Puede descargarla aqui
Quick Log es una herramienta simple para visualizar logs de Windows en formato EVTX, organizada según este trabajo: https://cybersecuritynews.com/windows-event-log-analysis/ y pensada para los cursos de forense digital con herramientas de código abierto dictados en Internet Solutions S.A.S, Bogotá, Colombia. Requiere Windows 10 de 64 bits y una resolución de 1920x1080.
Los logs se organizan en workspaces.
Un workspace es un "contenedor" de logs que puede contener uno o más archivos .evtx de una o varias máquinas que ejecutan Windows. Antes de poder empezar a visualizar los logs, debe crear un nuevo workspace o abrir uno previamente creado. Por defecto, un workspace recién creado no contiene archivos de logs; debe agregar logs después de crear el workspace. Siempre se pueden agregar logs adicionales. Un workspace también puede ser abierto para continuar revisando logs y puede ser cerrado cuando sea necesario.
Durante la adquisición de logs, se leen los logs de Windows y los campos más relevantes se almacenan en una base de datos SQLite. Una vez que se completa el proceso de lectura y almacenamiento, los archivos de logs originales ya no son necesarios, ya que se utilizará la base de datos. Cada entrada de log es un registro en la base de datos dentro de la tabla de logs, y cada registro contiene los siguientes campos con nombres descriptivos:
TimeCreated, UserID, EventID, Machine, Level, LogName, EventMessage, EventMessageXML y ActivityID.
TimeCreated:
La hora en la que se creó el evento, almacenada en UTC. Al procesar los logs, la hora se ajustará a la zona horaria de la máquina local. Tener esto en cuenta y asegurarse de ajustar a la zona horaria correcta extrayéndola del registro y usar la zona horaria de la evidencia para establecer la hora real. Por conveniencia, es posible, por ejemplo, cambiar la zona horaria de la máquina para que coincida con la de la evidencia durante el procesamiento de los logs.
UserID:
El descriptor de seguridad del usuario cuyo contexto se utiliza para publicar el evento. Para información detallada sobre este tema, consulta aquí: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn743661(v=ws.11)
EventID:
El identificador del evento.
Machine:
El nombre de la máquina donde se registró este evento.
Level:
El nivel del evento. El nivel indica la gravedad del evento.
LogName:
El nombre del registro de eventos donde se registra este evento.
EventMessage:
El mensaje del evento en la configuración regional actual.
EventMessageXML:
Representación XML del evento. Todas las propiedades del evento están representadas en el XML del evento.
ActivityID:
Un identificador único global (GUID) para la actividad en curso con la que se asocia el evento.
Los primeros tres elementos son para:
- Previsualizar
- Adquirir uno o más archivos de logs
- Adquirir todos los archivos .evtx dentro de una carpeta o ruta, permitiendo agregar múltiples logs de varias máquinas organizadas en subcarpetas dentro de una carpeta principal, por ejemplo.
A partir del cuarto elemento, los eventos se categorizan en áreas de interés basadas en el trabajo mostrado aquí con créditos de autor a Forward Defence.
Muestra los logs según la categoría seleccionada en los Filtros Básicos.
Puede navegar de celda en celda, y el contenido de cada una se mostrará en el cuadro de texto a medida que se mueve.
Visualización de EventMessage
Visualización de EventMessageXML
Muestra el contenido de la celda seleccionada usando las flechas del teclado o el mouse. Permite ver los resultados de búsqueda resaltados y leer cómodamente el contenido de los logs.
Opciones para crear, borrar y asignar etiquetas, así como para crear, actualizar y borrar comentarios.
Antes de poder usar etiquetas, debe crearlas usando el Gestor de Etiquetas.
Ahora, simplemente haga clic en la celda en blanco en la columna "Nombre".
Seleccione un color en la columna "Color".
Y luego haga clic en "Guardar".
Ahora puede cerrar la ventana del Gestor de Etiquetas y volver a ella cuando necesite crear o eliminar etiquetas.
Para aplicar las etiquetas, debe seleccionar el log o los logs a los que desea aplicar la etiqueta. Seleccionando logs:
Una vez seleccionado, lo verá así:
Puede seleccionar varios logs en fila presionando Shift.
O seleccionar a su discreción manteniendo presionada la tecla Ctrl, como en el Explorador de Windows.
Ahora que tiene seleccionado el log o los logs, simplemente haga clic en "Agregar Etiqueta".
Verá una ventana con las etiquetas creadas en el Gestor de Etiquetas:
Simplemente seleccione la etiqueta que desea aplicar usando el mismo método de selección que para los logs, y haga clic en "Set Label".
Una vez que la etiqueta se aplica, se verá así:
Para añadir comentarios, seleccione el log (solo uno) al que desea agregar el comentario y haga clic en "Agregar Comentario".
Use el cuadro de texto para ingresar el comentario que necesita.
Asegurese de dar click en "Save Comment".
Opciones para exportar los logs que se muestran actualmente en la tabla de logs a PDF o CSV.
Permite generar un filtro basado en la hora de dos registros, tomando la hora menor o más antigua como el límite inferior y la hora mayor o más reciente como el límite superior. Por ejemplo, podríamos ver todos los logs generados durante la sesión de un usuario.
Primero seleccione los dos logs que quiere usar para hacer el filtro de rango de tiempo. Luego, haga clic en el botón "Time Range".
También puede crear un filtro de tiempo para un número específico de minutos alrededor del tiempo de un evento. Por ejemplo, si un evento ocurrió a las 14:01:31 y usamos la opción "Minutes Aroud" con un minuto, filtrará todos los eventos entre un minuto antes y un minuto después, es decir, entre las 14:00:31 y las 14:02:31.
Muestra mensajes de operación.
Permite realizar filtros granulares por cualquiera de los campos en cada log. Recuerde que los filtros básicos solo muestran eventos categorizados. Se pueden crear filtros personalizados básicos que incluyan opciones de búsqueda de texto; este texto se buscará en los campos EventMessage y EventMessageXML.
Los filtros se pueden aplicar a todos los campos de los logs. La lógica de búsqueda entre diferentes campos es una operación AND, lo que significa que el filtro se aplica de la siguiente manera:
Primero, debe estar dentro del rango de tiempo como condición primaria, Y debe coincidir con el UserID, Y EventID, Y Machine Name, Y Level, Y LogName, Y Label, Y los términos de búsqueda dentro de los campos EventMessage o EventMessageXML.
Término de Búsqueda: Buscará dentro de los campos EventMessage o EventMessageXML y puede usar los operadores lógicos AND y OR.
Por ejemplo, puedes buscar: -1001
O buscar: -1001 AND logontype'>2<
Encontrará coincidencias de búsqueda ya sean condiciones AND u OR dentro de los campos EventMessage o EventMessageXML.
La barra de progreso muestra el avance de los logs que se cargan en la base de datos así como el procesamiento de los logs.
Básicamente, procesar uno o varios (usualmente todos) logs de una o varias máquinas y luego comenzar a buscar logs relacionados con actividades de interés, poner etiquetas y comentarios, y finalmente crear una línea de tiempo con las sesiones o eventos relevantes que fueron registrados en orden cronológico como una línea de tiempo.
Lo primero que hay que hacer es crear un workspace.
Después, agregar logs usando la opción "Acquire Logs" para uno o múltiples archivos o "Porcess Log Folder" para procesar todos los archivos .evtx dentro de una carpeta. Los logs se almacenarán en la base de datos y se clasificarán según las categorías predefinidas.
Filtros Básicos:
Al final del procesamiento, verás todos los logs clasificados y se mostrarán los usuarios encontrados en los logs.
El programa compilado se puede ejecutar desde una unidad USB, disco externo o carpeta de red sin necesidad de instalación.
