Dump Event Log (dumpel)
Инструмент Event Viewer является единственным инструментом, устанавливающимся вместе с основной частью систем Windows NT или 2000, и предназначен для просмотра журнала системных событий. Он имеет графический пользовательский интерфейс (GUI), а инструмент GUI не должен выполняться во время расследования, потому что инструментальные средства GUI затрагивают многочисленные системные файлы жесткого диска машины-жертвы, изменяя метки даты и времени.
Возможно, наилучший метод поиска регистрации системных событий состоит в использовании инструмента Dump Event Log, выполняющегося из командной строки. Этот инструмент делает дамп зарегистрированных событий в удобочитаемом формате для автономного анализа. Этот формат может быть далее импортирован в электронную таблицу и рассортирован по определенным событиям. Инструмент Dumpel поставляется с комплектом ресурсов систем Windows NT и 2000, или его можно загрузить отдельно с сайта http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp.
