是否可以在 Visual Studio 中使用 System.Diagnostics.EventLog 类解析导出或保存的 .evtx 文件并获取 Windows 10 事件日志的相关信息(Xml 详细信息)。
我需要开发一个可以提取取证相关事件日志信息的工具。 如果没有,有什么替代方案?
您可以使用 powershell cmdlet Get-WinEvent 从 evtx 文件中提取信息。也可以使用 System.Management.Automation 从 C# 程序调用。
您可以直接选择第三方DLP工具,节省大量时间。我们公司使用的是curtain logtrace,它支持我们主要同事的工作系统AutoCAD,监控用户的活动,包括文件的打开、移动、删除、复制、粘贴、截图打印等,只要我将自己设置为管理员,就可以进一步执行权限管理。他们将日志放入 MySQL 中。