免費事件檢視器讀取工具

更新於 2024/12/11發佈於 2024/12/10閱讀時間約 11 分鐘

Windows Event Log 是調查中重要的東西，透過 LOG 才能看到駭客的軌跡，了解駭客一些行為的蛛絲馬跡。或電腦系統異常現象之LOG，亦可提前掌握，避免系統嚴重錯誤事件發生。

FullEventLogView，是一款專門用於查看Windows系統事件記錄的免費工具軟體，利用單一視窗就能夠輕鬆讀取Windows Event Log。可以讓使用者查看事件記錄中的詳細資訊，包括事件描述、事件識別碼、事件等級、事件來源、事件時間等重要資訊。

使用方式：兩種方法

1. 於cmd直接執行 FullEventLogView.exe，手動輸入各項欲查詢之參數即可。

2. 若手動輸入麻煩，亦可將欲查詢之參數，先作成bat執行檔後，直接執行

不只可以存取本機電腦的事件記錄，亦可存取遠端電腦的事件記錄，使用者可以根據需要進行排序、篩選和搜尋。

亦可自訂查看模式，包括選擇事件記錄的時間範圍、過濾事件等級。來源、事件識別碼等等…

實例說明：

例1. 以參數查詢，查詢條件為 log 日期為過去31日內，

event id 為 "41,21,11,6008”

Command line 輸入參數如下:

D:\>cd D:\LIN_Program_Files\FullELV

D:\LIN_Program_Files\FullELV>FullEventLogView

/EventIDFilter 2 /EventIDFilterStr "41,21,11,6008" /TimeFilter 1 /Last TimeFilterUnit 4 /LastTimeFilterValue 31 /SaveDirect

結果顯示如下:

例2. 以參數查詢，查詢條件為 log 日期期間為01-11-2024 To"02-12-2024，

event id :" 36887, 7026,41,21,11”，並將查詢結果存入csv檔案

Command line 輸入參數如下

FullEventLogView /scomma "c:\EL_output-202412.csv" /EventIDFilter 2 /EventIDFilterStr "36887,7026,41,21,11" /FromTime "01-11-2024 00:00:00" /ToTime "02-12-2024 00:00:00" /SaveDirect

執行後，出力檔案(檔名為EL_output-202412.csv)內容如下:

Event Time,Record ID,Event ID,Level,Channel,Provider,Description,Opcode,Task,Keywords,Process ID,Thread ID,Computer,User,Log File
2024/12/10 下午 02:08:18.291,276047,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,,
2024/12/10 下午 02:08:17.880,276046,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:17.129,276045,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:16.721,276044,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,732,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:15.958,276043,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:08:15.539,276042,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,700,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:03:29.081,276011,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,720,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:03:28.675,276009,36887,Error,System,Schannel,收到以下的嚴重警示: 70。,,,0x8000000000000000,664,1324,admin-HP,NT AUTHORITY\SYSTEM,
2024/12/10 下午 02:03:10.983,275992,7026,Error,System,Service Control Manager,"下列開機啟動或系統啟動驅動程式無法載入: 
bootsafe",,,傳統,652,656,admin-HP,,
2024/12/10 下午 02:03:08.641,3557,21,Information,Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,Microsoft-Windows-TerminalServices-LocalSessionManager,"遠端桌面服務: 工作階段登入成功:

使用者: admin-HP\admin
工作階段識別碼: 1
來源網路位址: 本機",,,0x1000000000000000,672,1000,admin-HP,NT AUTHORITY\SYSTEM,

*** FullEventLogView.exe 各參數應用說明 ***

* 1. LOG存在電腦 : /DataSource 2 /ComputerName MyComputer

Or 可指定例 ip 192.168.127.5；若不指定即查詢本機

*2. 來源LOG檔案之指定 :

/DataSource 3 /LogFolder "D:\evtLogBK_20211209" /LogFolderWildcard “Security.evtx" 　/LogFolderWildcard "*"

[註] /LogFolder : 表示log存放之目錄

*3. 查詢結果出力檔案位置指定 : 例 /scomma "C:\EL_output-202412.csv"

*4. 來源LOG envent ID 指定 : 例 "4624,4625"

*5. 來源LOG Level :

/ShowCritical 1 /ShowError 1 /ShowWarning 0 /ShowInformation 0 /ShowUndefined 0 /ShowVerbose 0

[註] /ShowCritical 1: 表示欲查詢； 0: 表示不查詢

*6. 來源LOG Channel :

/ChannelFilter 2 /ChannelFilterStr "Security"

Or "Security,Application,System"

*7. 來源LOG 期間選定 : 例 /FromTime "02-01-2024 00:00:00" /ToTime "31-12-2024 00:00:00"

* 8. 來源LOG 最近期間選定 : 例 30天以內之LOG選出

/TimeFilter 1 /LastTimeFilterUnit 4 /LastTimeFilterValue 30

*9. 來源LOG目錄，或Log .evtx 檔之選擇

來源指定: 例如 /DataSource 3 /LogFolder "D:\evtLogBK_2024" /LogFolderWildcard "Security.evtx"

若上述不指定時，即由現行系統C: 內 event log 選出

總結：

FullEventLogView是一款免費的系統事件記錄查看工具，支援多種查看模式，包括本機、遠端和.evtx等備份檔案。它可以讓系統管理員或USER於command line直接輸入查詢，亦可做成bat執行檔，方便查看電腦系統事件記錄中的詳細資訊，並且具有篩選和搜尋等實用功能。藉由善用本程式，定期監視檢查系統事件記錄，可以提前預知風險，避免突然電腦系統故障發生，减少異常對應工時。因此，FullEventLogView是一個非常有用的軟體，值得應用。

---by linct-----