Andreas Schuster weist in seinem Blog darauf hin, dass das Digital Forensics Institute eine Liste der forensisch relevanten Eventlogeinträge

Andreas Schuster hat zum Artikel in der iX 1/2007 über Windows Ereignisprotokolle einige Ergänzungen veröffentlicht. Er weist korrekterweise darauf hin, dass einige der dort vorgestellten Tools (namentlich EnCase und fccuevtreader) geteilte Eventlog-Einträge nicht korrekt anzeigen.

Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.
In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise [...]

Ich kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht [...]

Andreas Schuster berichtet gerade auf seinem Blog, dass bei Vista ein verändertes Dateiformat verwendet wird. Er hat bei dieser Gelegenheit die unterschiedlichen Eventlog-Format der Windows-Versionen verglichen. War ja auch mal irgendwie nötig