解析Windows ETL日志的利器:etl-parser

于 2024-06-19 09:49:12 发布
阅读量277 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00065/article/details/139793558
版权

解析Windows ETL日志的利器:etl-parser

在数字取证和入侵调查(DFIR)领域,理解系统活动的关键常常隐藏在各种日志文件中。Windows操作系统的事件跟踪(ETW)日志以ETL格式存储,这种格式既强大又复杂,但文档稀少,给分析带来了挑战。然而,有了etl-parser这个纯Python库,处理ETL文件变得简单且高效。

项目介绍

etl-parser是一个针对Windows ETL日志的解析工具,适用于Python 3环境。它无需任何系统依赖,不论是在Windows还是Linux上都能顺畅工作。该项目源自Airbus CERT团队的努力,结合了Geoff Chappel的博客和其他逆向工程的研究成果,提供了解析多种常见日志格式的能力:

  • ETWmanifest基础提供者
  • TraceLogging
  • MOF内核日志

项目技术分析

etl-parser通过两个脚本和一个可作为库使用的API,简化了ETL文件的处理。etl2xml将ETL事件转换为XML,方便进一步分析;而etl2pcap则将网络捕获数据转化为广泛认可的pcap格式。此外,它提供了一个观察者模式接口,允许开发者自定义事件处理逻辑,对不同类型的记录进行解码和解析。

应用场景

ETL日志在Windows系统编程中广泛应用,包括但不限于以下场景:

  • 系统启动和关闭性能诊断:如BootPerfDiagLogger.etlShutdownPerfDiagLogger.etl
  • 网络流量捕获:通过netsh命令
  • 快照记录:如WDI目录下的snapshot.etl

对于DFIR分析师来说,etl-parser是提取这些金矿般信息的强大工具。

项目特点

  • 跨平台:无论是在Windows还是Linux环境下,都能无缝工作。
  • 无依赖:只需要Python环境,无需安装额外的库或组件。
  • 全面解析:支持多种ETL日志格式,并持续更新,未来将添加更多解析器,如WPP。
  • 灵活使用:既可以作为命令行工具,也可以集成到自定义的Python应用中。
  • 易于扩展:开放源代码并接受社区贡献,如果有新的解析需求,只需创建问题或者提交PR。

安装与使用

etl-parser可通过pip轻松安装:

pip install etl-parser

或者直接从GitHub克隆仓库并本地安装:

git clone https://github.com/airbus-cert/etl-parser.git
cd etl-parser
pip install -e .

如果你在解析过程中遇到任何问题,记得前往Airbus CERT的GitHub仓库打开问题,一起参与进这个项目的发展中来。

总的来说,etl-parser是你探索Windows系统深度日志的不可或缺的伙伴。现在就加入这个开源项目,发掘那些藏在ETL日志中的宝贵信息吧!

谢忻含Norma
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
如何利用ETW(Event Tracing for Windows)记录日志
weixin_34006965的博客
10-25 2596
ETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。 一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provid...
ETL利器Kettle实战应用--Kettle使用介绍
02-26
ETL(Extract-Transform-Load的缩写,即数据抽取、转换、装载的过程),对于企业或行业应用来说,我们经常会遇到各种数据的处理,转换,迁移,所以了解并掌握一种etl工具的使用,必不可少,这里我介绍一个我在工作中使用了3年左右的ETL工具Kettle,本着好东西不独享的想法,跟大家分享碰撞交流一下!在使用中我感觉这个工具真的很强大,支持图形化的GUI设计界面,然后可以以工作流的形式流转,在做一些简单或复杂的数据抽取、质量检测、数据清洗、数据转换、数据过滤等方面有着比较稳定的表现,其中最主要的我们通过熟练的应用它,减少了非常多的研发工作量,提高了我们的工作效率,不过对于我这个.n
6- ETL-ETL日志
yaoyelinger0912的博客
07-12 2332
1、ETL日志   ETL日志分为三类。一类是执行过程日志,这一部分日志是在ETL执行过程中每执行一步的记录,记录每次运行每一步骤的起始时间,影响了多少行数据,流水账形式。一类是错误日志,当某个模块出错的时候写错误日志,记录每次出错的时间、出错的模块以及出错的信息等。第三类日志是总体日志,只记录ETL开始时间、结束时间是否成功信息。如果使用ETL工具,ETL工具会自动产生一些日志,这一类日志也可以...
WindowsAppEtw:windows下采用etw方式记录程序运行关键点,然后根据生成的etl日志进行分析
05-10
WindowsAppEtw windows下采用etw方式记录程序运行关键点,然后根据生成的etl日志进行分析.这里主要是记录etw的使用,当然可以方便的扩展带其他pc上客户端程序的使用。 #概述 Event Tracing for Windows (ETW) provides application programmers the ability to start and stop event tracing sessions, instrument an application to provide trace events, and consume trace events. Trace events contain an event header and provider-defined data that describes the current state of an app
ETL工具】Kettle入门介绍 与 Windows 中的 基本 操作(详细图文并茂)
康师傅没有眼泪
02-12 6203
对于企业或行业应用来说,经常会遇到各种数据的处理,转换,迁移,掌握一种etl工具的使用,必不可少,这里要学习的ETL工具是——Kettle,现在已经更名为PDI。 Kettle是一款国外开源的ETL工具,纯java编写,可以在Window、Linux、Unix上运行,绿色无需安装,Kettle 中文名称叫水壶,该项目的主程序员MATT 希望把各种数据放到一个壶里,然后以一种指定的格式流出,Kettle允许管理来自不同数据库的数据,提供一个图形化的用户环境来描述想做什么,无需关心怎么做
使用ETW进行性能分析
最新发布
ccf19881030的专栏
02-02 221
UIforETW – Windows Performance Made Easier
探索Java日志的奥秘:底层日志系统-log4j2
云栖社区
04-11 466
前言log4j2是apache在log4j的基础上,参考logback架构实现的一套新的日志系统(我感觉是apache害怕logback了)。log4j2的官方文档上写着...
usa-tourism-etl:ETL管道-
03-16
ETL管道简介】 ETL(Extract, Transform, Load)是数据处理领域中的核心概念,用于将原始数据从源系统中提取出来,经过清洗、转换,然后加载到目标数据库或数据仓库中。在这个"usa-tourism-etl"项目中,我们将...
ETL利器Kettle实战应用--应用场景和实战DEMO下载
01-30
这里简单概括一下几种具体的应用场景,按网络环境划分主要包括:表视图模式:这种情况我们经常遇到,就是在同一网络环境下,我们对各种数据源的表数据进行抽取、过滤、清洗等,例如历史数据同步、异构系统数据交互、...
计算机开机桌面一直转圈,电脑开机卡在品牌logo转圈界面,请问如何解决。
weixin_33526828的博客
06-20 1万+
查看了事件查看器,有三个错误的地方1、一是关于会话“PerfDiag Logger”:未能启动-已达最大大小-已停止,有这么一个奇怪的过程会话“PerfDiag Logger”未能启动,存在以下错误: 0xC0000035已达到会话“PerfDiag Logger”的最大文件大小。因此,文件“C:\WINDOWS\system32\WDI\LogFiles\ShutdownPerfDiagLogg...
电脑开机后不显示桌面图标的原因与解决方法
07-05
最近,不少朋友的电脑出现开机后只有桌面背景,其他什么也没有,这个对平时用惯桌面操作的我们来说,十分别扭!出现这类情况主要是explorer.exe这个负责有关图形界面的系统进程出现了问题,这个进程是随系统安装进入电脑的,不少朋友选择重装系统来解决,这当然是最彻底解决系统故障的通用办法,但不是对症下药!
python日志分析库_纯Python实现的事件跟踪日志文件解析
weixin_39700548的博客
12-24 848
etl-parserEvent Trace Log file reader in pure Pythonetl-parser is a pure Python 3 parser library for ETL Windows log files. ETL is the default format for ETW as well as the default format for the Kern...
WCF的追踪分析工具——SvcPerf
weixin_33874713的博客
02-08 58
Microsoft最近发布了SvcPerf,它是一个端到端的基于Windows事件追踪(ETW)的追踪查看器,可用于基于清单的追踪。你能够通过这个工具查看ETL文件或者实时跟踪会话,还能创建自定义的查询。 这个端到端的追踪分析工具基于Linq over Traces(TX),可以用于WCF、WF以及其他基于活动的ETW跟踪。你能够通过这个工具查看ETL文件或者实时跟踪会话,还能创建自定义的查询。...
ELK日志系统
weixin_30662539的博客
08-17 62
转自 https://zhuanlan.zhihu.com/p/26399963 ELK中的三个系统分别扮演不同的角色,组成了一个整体的解决方案。 Logstash是一个ETL工具,负责从每台机器抓取日志数据,对数据进行格式转换和处理后,输出到Elasticsearch中存储。 Elasticsearch是一个分布式搜索引擎和分析引擎,用于数据存储,可提供实时的数据查询。 Kibana是...
ETL详解
lilenglya的博客
12-03 455
什么是ETL ETL,是英文 Extract-Transform-Load 的缩写,用来描述将数据从来源端经过抽取(extract)、交互转换(transform)、加载(load)至目的端的过程。ETL一词较常用在数据仓库,但其对象并不限于数据仓库。(百度百科) ETL是构建数据仓库的重要一环,用户从数据源抽取出所需的数据,经过数据清洗,最终按照预先定义好的数据仓库模型,将数据加载到数据仓库中去...
关于出现logger的警告解决方法
qq_34368784的博客
11-11 3144
警告内容是: log4j:WARN No appenders could be found for logger (org.springframework.web.context.ContextLoader). log4j:WARN Please initialize the log4j system properly. 解决方法:在项目的src下新建一个log4j.proper
ETL工具kettle 日志表配置及工作流程
Baishu的专栏
03-23 7842
Kettle日志表配置和使用 @(baishu) [TOC] 当系统中ETL过程中存在多种行为且设置了每日执行增量,这无疑会造成系统数据的审计和校验的巨大麻烦。幸运的是kettle本身已经为我们提供了记录增量行为的配置项。 初始化日志表 当我们第一次使用日志表的配置时,我们需要先在数据库内生成对应的日志表。其实这一步我们也无需自己设计建表语句,在spoon内我们可以直接手动创...
Windows安全日志分析
热门推荐
安全狐
11-16 1万+
Windows日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
ETL维护手册:抽取-转换-加载详解与目标实现
ETL(Extract, Transform, Load)维护手册是一份详尽的文档,专为IT专业人士设计,旨在提供关于企业级数据提取、转换和加载过程的全面指南。这份手册涵盖了ETL系统的各个方面,以确保其稳定运行和高效性能。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢忻含Norma

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值