Epagneul：Windows日志可视化分析工具

Epagneul是一款专为Windows事件日志设计的可视化分析工具，旨在帮助研究人员通过图形化方式查看、分析和审计Windows事件日志。

工具体系架构

该工具的整体运行机制和体系架构如下图所示：

工具组件

工具要求

使用该工具需要在本地设备上安装并配置好Docker和Docker-compose。

工具下载

研究人员可以使用以下命令将项目源码克隆到本地：

git clone https://github.com/jurelou/epagneul.git

工具安装

克隆项目后，切换到项目根目录，并运行以下命令进行项目构建：

make

离线部署

若需在联网设备上构建Epagneul的离线版本，可以使用以下命令：

make release

此命令将在项目目录中创建一个名为“release”的目录，内含可直接使用的Docker镜像。将此镜像拷贝到空气间隙设备上，并运行以下命令：

make loadmake

上述命令将安装所需的工具组件。

项目地址

https://github.com/jurelou/epagneul

参考资料

• https://adsecurity.org/wp-content/uploads/2017/04/2017-BSidesCharm-DetectingtheElusive-ActiveDirectoryThreatHunting-Final.pdf
• https://github.com/JPCERTCC/LogonTracer
• https://github.com/ahmedkhlief/APT-Hunter