嗯 ! 延續昨天那篇以及裡面所提到的
Detect & Compare if system files have modified by md5deep & ssdeep
過去我的作法都是採用 AIDE 或者是一度打算直接用 notify 等工具來 " 即時 " 監控 分析端
但是仔細的評估後 ... 似乎沒那麼大必要性 ... 會增加分析端的安裝問題 ...
因為那樣做就得要 server 端 安裝 samba 以及 開網芳等動作 !
下載後請安裝它 ... 安裝完之後就像 PSTools 一樣可以單獨拿出來使用 ....
主要會用到的就是
-f:指定匯出後的檔案名稱
-l:選擇要匯出那種 log ( system, application, security )
-s:指定電腦
-r:這個我不太會用,不過試了一下跟 -e 可搭配
-e:這可以指定 log ID
C:\>C:\dumpel.exe -f %USERDOMAIN%_%computername%.txt -l system
C:\>C:\dumpel.exe -f %USERDOMAIN%_%computername%_security.txt -l security
Dump successfully completed.
C:\>C:\dumpel.exe -f %USERDOMAIN%_%computername%_application.txt -l application
Dump successfully completed.
這邊還有一篇類似的文章:Windows eventlog 集中管理 (http://bigcandy.blog.ithome.com.tw/post/2158/158866)
最後就是一樣要再靠自己來好好 Parse 一下啦 !!!!