Event2Timeline 项目使用教程

Event2Timeline 项目使用教程

event2timelineSimple Microsoft Windows sessions event logs visualization项目地址:https://gitcode.com/gh_mirrors/ev/event2timeline

1. 项目的目录结构及介绍

Event2Timeline 项目的目录结构如下：

event2timeline/
├── event2timeline.py
├── requirements.txt
├── README.md
├── LICENSE.md
├── gitignore
├── timeline/
│   └── timeline-sessions.html
└── event2timeline.png

目录结构介绍

• event2timeline.py: 项目的主启动文件。
• requirements.txt: 项目依赖文件，包含项目运行所需的所有 Python 包。
• README.md: 项目说明文档，包含项目的基本介绍和使用方法。
• LICENSE.md: 项目许可证文件，说明项目的开源许可证类型。
• gitignore: Git 忽略文件，指定哪些文件或目录不需要被 Git 追踪。
• timeline/: 包含生成的可视化时间线 HTML 文件。
• event2timeline.png: 项目的图标或标志图片。

2. 项目的启动文件介绍

项目的启动文件是 event2timeline.py。该文件负责解析 Microsoft Windows 会话事件日志，并生成可视化的时间线。

启动文件功能介绍

• 解析 EVTX 事件日志（适用于 Windows Vista 及更高版本）和 CSV 导出的旧版 EVT 日志文件。
• 生成可视化的时间线 HTML 文件，展示事件日志中的事件。

启动文件使用方法

对于旧版 EVT 文件：

1. 将事件日志转换为 CSV 格式。
2. 使用 Microsoft Log Parser 2.2 进行转换。
3. 运行 event2timeline.py -c -f csv_filename.csv。
4. 在浏览器中打开 timeline/timeline-sessions.html。

对于 Post-Vista EVTX 文件：

1. 直接运行 event2timeline.py -e -f Security.evtx。

3. 项目的配置文件介绍

项目没有明确的配置文件，但需要修改 event2timeline.py 中的一个变量，以适应事件日志的语言本地化。

配置变量修改

在 event2timeline.py 文件中，找到并修改以下变量：

# 根据事件日志的语言本地化修改此变量
language_localization_variable = "your_localization_setting"

依赖安装

在运行项目之前，需要安装以下依赖：

1. python-dateutil: 用于日期和时间处理。
2. python-evtx: 用于解析 EVTX 文件。

安装方法：

pip install python-dateutil
pip install python-evtx

通过以上步骤，您可以成功运行和配置 Event2Timeline 项目，生成 Microsoft Windows 会话事件日志的可视化时间线。

event2timelineSimple Microsoft Windows sessions event logs visualization项目地址:https://gitcode.com/gh_mirrors/ev/event2timeline