O Event2Timeline é uma ferramenta desenvolvida em D3js que realiza a leitura de arquivos de eventos do Windows (EVTX) e (EVT exportados para CSV) e de forma gráfica que auxilia no entendimento dos eventos.
Em alguns caso de ataques ou ate mesmo em um servidor Honeypot é possível obter dados interessantes sobre o comportamento das interfaces.
Projeto : github.com/certsocietegenerale/event2timeline
Realize o download do event2timeline.
Linuxgit clone https://github.com/certsocietegenerale/event2timeline
Entre no diretório do event2timeline e liste os arquivos.
Linuxcd event2timeline/ ls -l
Certifique-se que seu sistema possui todos os pré-requisitos para utilizar o event2timeline, caso não possua a instalação dos pacotes necessários serão realizadas.
Linuxpip install -r requirements.txt
Crie um diretório Windows e copie o arquivo de evento (ex. Security.evtx) para o diretório.
mkdir Windows cd Windows ls -l
Eventos do Windows : C:\Windows\System32\winevt\Logs.
Volte ao diretório principal e execute o event2timeline.
python event2timeline.py -e -f Windows/Security.evtx
Navegue ate o diretório principal event2timeline/timeline e abra o arquivo timeline-sessions.html para visualizar o resultado.