Модуль извлечения данных безопасности из журналов операционной системы

Программа предназначена для извлечения данных безопасности из журналов операционной системы Windows при расследовании компьютерных инцидентов. Работа осуществляется со следующими типами журналов: System, Application, Security, Directory service, DNS Server, File replication service. Для каждого события извлекаются следующие данные: уникальный идентификатор, тип, категория, дата и время создания, дата и время записи в журнал, источник, описание. Программа представляет собой скрипт и может быть вызвана с помощью командной строки. Если запуск осуществляется не от имени администратора, отдельные журналы могут быть недоступны. Уникальные события по каждому журналу группируются и записываются в файлы формата CSV. Файлы хранятся в папке output, которая создается в папке программы. Имя выходных файлов зависит от системного имени компьютера, типа логов и текущей даты и времени.