fix: broken terminal Table/Progress bar completion #1488

fukusuket · 2024-11-12T13:36:33Z

What Changed

Closed [bug] Progress bar does not complete(eid-metrics/computer-metrics/logon-summary) #1487
Closed [bug] Terminal Table output's tail of metrics command is broken #1486

Cause

Sorry... ,The cause of the two issues mentioned above was a regression due to the following pull request😇
(therefore, it does not occur in 2.18.0 release version)

fix: output completion message when scan is finished #1462

Evidence

Integration-Test

https://github.com/Yamato-Security/hayabusa/actions/runs/11798362331

I would appreciate it if you could check it out when you have time🙏

fukusuket · 2024-11-12T13:37:35Z

logon-summary

fukusuke@fukusukenoMacBook-Air hayabusa-2.18.0-mac-aarch64 % ./hayabusa logon-summary -d ../all-evtx/Logs_Client -q
Generating Logon Summary

Start time: 2024/11/12 22:37

Total event log files: 352
Total file size: 876.7 MB

Currently scanning for the logon summary. Please wait.

[00:00:06] 352 / 352   [========================================] 100%

Scanning finished.

Total Event Records: 784,156

First Timestamp: 2022-02-07 19:52:10.537 +09:00
Last Timestamp: 2022-02-08 21:45:10.070 +09:00

Logon Summary:

Successful Logons:
╭────────────┬────────────┬─────────────────┬─────────────────┬─────────────────┬───────────────────╮
│ Successful ┆ Event      ┆ Target Account  ┆ Target Computer ┆ Source Computer ┆ Source IP Address │
╞════════════╪════════════╪═════════════════╪═════════════════╪═════════════════╪═══════════════════╡
│ 193        ┆ Sec 4624   ┆ SYSTEM          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 19         ┆ Sec 4624   ┆ SYSTEM          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 16         ┆ Sec 4624   ┆ user            ┆ DESKTOP-A8CALR3 ┆ DESKTOP-A8CALR3 ┆ 127.0.0.1         │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 12         ┆ Sec 4624   ┆ SYSTEM          ┆ WIN-VR474TJ38H3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 10         ┆ Sec 4624   ┆ DWM-1           ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 6          ┆ Sec 4624   ┆ SYSTEM          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 5          ┆ Sec 4624   ┆ UMFD-0          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 5          ┆ Sec 4624   ┆ UMFD-1          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 5          ┆ RDS-LSM 21 ┆ user            ┆ DESKTOP-A8CALR3 ┆ -               ┆ LOCAL             │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 5          ┆ Sec 4624   ┆ NETWORK SERVICE ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 5          ┆ Sec 4624   ┆ LOCAL SERVICE   ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ Sec 4624   ┆ user            ┆ DESKTOP-A8CALR3 ┆ DESKTOP-A8CALR3 ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ Sec 4624   ┆ DWM-1           ┆ WIN-VR474TJ38H3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ Sec 4624   ┆ defaultuser0    ┆ DESKTOP-A8CALR3 ┆ DESKTOP-A8CALR3 ┆ 127.0.0.1         │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ RDS-LSM 21 ┆ defaultuser0    ┆ DESKTOP-A8CALR3 ┆ -               ┆ LOCAL             │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ Sec 4624   ┆ DWM-1           ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ Sec 4624   ┆ defaultuser0    ┆ DESKTOP-A8CALR3 ┆ WIN-VR474TJ38H3 ┆ 127.0.0.1         │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ Sec 4624   ┆ defaultuser0    ┆ DESKTOP-A8CALR3 ┆ WIN-VR474TJ38H3 ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2          ┆ Sec 4624   ┆ DWM-2           ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ UMFD-0          ┆ WIN-VR474TJ38H3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ UMFD-1          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ UMFD-2          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ NETWORK SERVICE ┆ WIN-VR474TJ38H3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ UMFD-0          ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ SYSTEM          ┆ WIN-VR474TJ38H3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ UMFD-1          ┆ WIN-VR474TJ38H3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ LOCAL SERVICE   ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ NETWORK SERVICE ┆ DESKTOP-A8CALR3 ┆ -               ┆ -                 │
├╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1          ┆ Sec 4624   ┆ LOCAL SERVICE   ┆ WIN-VR474TJ38H3 ┆ -               ┆ -                 │
╰────────────┴────────────┴─────────────────┴─────────────────┴─────────────────┴───────────────────╯



Failed Logons:
╭────────┬──────────┬────────────────┬─────────────────┬─────────────────┬───────────────────╮
│ Failed ┆ Event    ┆ Target Account ┆ Target Computer ┆ Source Computer ┆ Source IP Address │
╞════════╪══════════╪════════════════╪═════════════════╪═════════════════╪═══════════════════╡
│ 1      ┆ Sec 4625 ┆ user           ┆ DESKTOP-A8CALR3 ┆ DESKTOP-A8CALR3 ┆ 127.0.0.1         │
╰────────┴──────────┴────────────────┴─────────────────┴─────────────────┴───────────────────╯

Elapsed time: 00:00:06.721

fukusuket · 2024-11-12T13:39:02Z

log-metrics

% ./hayabusa log-metrics -d ../all-evtx/Logs_Client -q --include-computer WIN-VR474TJ38H3
Start time: 2024/11/12 22:38

Total event log files: 352
Total file size: 876.7 MB

Currently scanning for log metrics. Please wait.

[00:00:04] 352 / 352   [========================================] 100%

Scanning finished.                                                                                                                             ╭──────────────────────┬─────────────────┬────────┬──────────────────────┬──────────────────────┬──────────────────────┬──────────────────────╮
│ Filename             ┆ Computers       ┆ Events ┆ First Timestamp      ┆ Last Timestamp       ┆ Channels             ┆ Providers            │
╞══════════════════════╪═════════════════╪════════╪══════════════════════╪══════════════════════╪══════════════════════╪══════════════════════╡
│ Microsoft-Windows-De ┆ WIN-VR474TJ38H3 ┆ 148    ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-DeviceMgmt-En ┆ MS-Win-DeviceMgmt-En │
│ viceManagement-Enter ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ terprise-Diag-Prov/A ┆ terprise-Diag-Prov   │
│ prise-Diagnostics-Pr ┆                 ┆        ┆                      ┆                      ┆ dmin                 ┆                      │
│ ovider%4Admin.evtx   ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ System.evtx          ┆ WIN-VR474TJ38H3 ┆ 137    ┆ 2022-02-07           ┆ 2022-02-07           ┆ Sys                  ┆ EventLog             │
│                      ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆ MS-Win-DHCPv6-Cli    │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Dhcp-Cli      │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Dir-Svcs-SAM  │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-FilterMgr     │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-HAL           │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Kern-Boot     │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Kern-General  │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Kern-Processo │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ r-Pwr                │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Kern-Pwr      │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Ntfs          │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-Wininit       │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ SCM                  │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ Workstation          │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-St ┆ WIN-VR474TJ38H3 ┆ 126    ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-StateReposito ┆ MS-Win-StateReposito │
│ ateRepository%4Opera ┆                 ┆        ┆ 19:52:10.539 +09:00  ┆ 19:53:53.248 +09:00  ┆ ry/Op                ┆ ry                   │
│ tional.evtx          ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Security.evtx        ┆ WIN-VR474TJ38H3 ┆ 118    ┆ 2022-02-07           ┆ 2022-02-07           ┆ Sec                  ┆ Sec                  │
│                      ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Ke ┆ WIN-VR474TJ38H3 ┆ 87     ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Kern-PnP/Conf ┆ MS-Win-Kern-PnP      │
│ rnel-PnP%4Configurat ┆                 ┆        ┆ 19:52:10.539 +09:00  ┆ 19:53:42.199 +09:00  ┆ ig                   ┆                      │
│ ion.evtx             ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Client-Lic ┆ WIN-VR474TJ38H3 ┆ 80     ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Cli-Licensing-Pla ┆ MS-Cli-Licensing-Pla │
│ ensing-Platform%4Adm ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ tform/Admin          ┆ tform                │
│ in.evtx              ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Ap ┆ WIN-VR474TJ38H3 ┆ 61     ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-AppxPackaging ┆ MS-Win-AppxPackaging │
│ pxPackaging%4Operati ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ /Op                  ┆ OM                   │
│ onal.evtx            ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Pr ┆ WIN-VR474TJ38H3 ┆ 57     ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Provision-Dia ┆ MS-Win-Provision-Dia │
│ ovisioning-Diagnosti ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ g-Prov/Admin         ┆ g-Prov               │
│ cs-Provider%4Admin.e ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
│ vtx                  ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Wi ┆ WIN-VR474TJ38H3 ┆ 16     ┆ 2022-02-07           ┆ 2022-02-07           ┆ Defender             ┆ Defender             │
│ ndows Defender%4Oper ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆                      ┆                      │
│ ational.evtx         ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Au ┆ WIN-VR474TJ38H3 ┆ 16     ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Audio/Op      ┆ MS-Win-Audio         │
│ dio%4Operational.evt ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
│ x                    ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Ke ┆ WIN-VR474TJ38H3 ┆ 13     ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Kern-ShimEngi ┆ MS-Win-Kern-ShimEngi │
│ rnel-ShimEngine%4Ope ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ ne/Op                ┆ ne                   │
│ rational.evtx        ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Te ┆ WIN-VR474TJ38H3 ┆ 12     ┆ 2022-02-07           ┆ 2022-02-07           ┆ RDS-LSM              ┆ RDS-LSM              │
│ rminalServices-Local ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆                      ┆                      │
│ SessionManager%4Oper ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
│ ational.evtx         ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Wi ┆ WIN-VR474TJ38H3 ┆ 8      ┆ 2022-02-07           ┆ 2022-02-07           ┆ Firewall             ┆ Firewall             │
│ ndows Firewall With  ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:53:42.199 +09:00  ┆                      ┆                      │
│ Advanced Security%4F ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
│ irewall.evtx         ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Wc ┆ WIN-VR474TJ38H3 ┆ 8      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Wcmsvc/Op     ┆ MS-Win-Wcmsvc        │
│ msvc%4Operational.ev ┆                 ┆        ┆ 19:52:10.539 +09:00  ┆ 19:53:53.248 +09:00  ┆                      ┆                      │
│ tx                   ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Di ┆ WIN-VR474TJ38H3 ┆ 8      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Diagnosis-DPS ┆ MS-Win-Diagnosis-DPS │
│ agnosis-DPS%4Operati ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ /Op                  ┆                      │
│ onal.evtx            ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Gr ┆ WIN-VR474TJ38H3 ┆ 7      ┆ 2022-02-07           ┆ 2022-02-07           ┆ GrpPolicy            ┆ MS-Win-GrpPolicy     │
│ oupPolicy%4Operation ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆                      ┆                      │
│ al.evtx              ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Un ┆ WIN-VR474TJ38H3 ┆ 7      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-UnivTelemetry ┆ MS-Win-UnivTelemetry │
│ iversalTelemetryClie ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ Cli/Op               ┆ Cli                  │
│ nt%4Operational.evtx ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Application.evtx     ┆ WIN-VR474TJ38H3 ┆ 5      ┆ 2022-02-07           ┆ 2022-02-07           ┆ App                  ┆ MS-Win-User Profs    │
│                      ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆ Svc                  │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ MS-Win-WMI           │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ WLMS                 │
│                      ┆                 ┆        ┆                      ┆                      ┆                      ┆ edgeupdate           │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-SM ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-SMBSvr/Op     ┆ MS-Win-SMBSvr        │
│ BServer%4Operational ┆                 ┆        ┆ 19:52:24.296 +09:00  ┆ 19:52:30.343 +09:00  ┆                      ┆                      │
│ .evtx                ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Ke ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ KernWHEA             ┆ MS-Win-Kern-WHEA     │
│ rnel-WHEA%4Operation ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:30.343 +09:00  ┆                      ┆                      │
│ al.evtx              ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Vo ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-VolumeSnapsho ┆ MS-Win-VolumeSnapsho │
│ lumeSnapshot-Driver% ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆ t-Driver/Op          ┆ t-Driver             │
│ 4Operational.evtx    ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Ke ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Kern-Boot/Op  ┆ MS-Win-Kern-Boot     │
│ rnel-Boot%4Operation ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:53.248 +09:00  ┆                      ┆                      │
│ al.evtx              ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Re ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-ReadyBoost/Op ┆ MS-Win-ReadyBoost    │
│ adyBoost%4Operationa ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
│ l.evtx               ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Sm ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-SmbCli/Conn   ┆ MS-Win-SMBCli        │
│ bClient%4Connectivit ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
│ y.evtx               ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-WM ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ WMI                  ┆ WMI-Activity         │
│ I-Activity%4Operatio ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
│ nal.evtx             ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-St ┆ WIN-VR474TJ38H3 ┆ 4      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Storage-Storp ┆ MS-Win-StorPort      │
│ orage-Storport%4Oper ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ ort/Op               ┆                      │
│ ational.evtx         ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Ap ┆ WIN-VR474TJ38H3 ┆ 3      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-AppModel-Runt ┆ MS-Win-AppModel-Runt │
│ pModel-Runtime%4Admi ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ ime/Admin            ┆ ime                  │
│ n.evtx               ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Nt ┆ WIN-VR474TJ38H3 ┆ 3      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Ntfs/Op       ┆ MS-Win-Ntfs          │
│ fs%4Operational.evtx ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Ta ┆ WIN-VR474TJ38H3 ┆ 2      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-TaskScheduler ┆ TaskScheduler        │
│ skScheduler%4Mainten ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆ /Maintenance         ┆                      │
│ ance.evtx            ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-St ┆ WIN-VR474TJ38H3 ┆ 2      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Storage-Storp ┆ MS-Win-StorPort      │
│ orage-Storport%4Heal ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆ ort/Health           ┆                      │
│ th.evtx              ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Cr ┆ WIN-VR474TJ38H3 ┆ 2      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Crypto-DPAPI/ ┆ MS-Win-Crypto-DPAPI  │
│ ypto-DPAPI%4Operatio ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ Op                   ┆                      │
│ nal.evtx             ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-AA ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-AAD/Op        ┆ MS-Win-AAD           │
│ D%4Operational.evtx  ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Co ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Containers-Bi ┆ MS-Win-Containers-Bi │
│ ntainers-BindFlt%4Op ┆                 ┆        ┆ 19:52:10.628 +09:00  ┆ 19:52:41.147 +09:00  ┆ ndFlt/Op             ┆ ndFlt                │
│ erational.evtx       ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-De ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-DeviceSetupMg ┆ MS-Win-DeviceSetupMg │
│ viceSetupManager%4Ad ┆                 ┆        ┆ 19:52:10.539 +09:00  ┆ 19:53:42.199 +09:00  ┆ r/Admin              ┆ r                    │
│ min.evtx             ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-NC ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-NCSI/Op       ┆ MS-Win-NCSI          │
│ SI%4Operational.evtx ┆                 ┆        ┆ 19:52:10.539 +09:00  ┆ 19:53:42.199 +09:00  ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Co ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Containers-Wc ┆ MS-Win-Containers-Wc │
│ ntainers-Wcifs%4Oper ┆                 ┆        ┆ 19:52:10.539 +09:00  ┆ 19:53:53.248 +09:00  ┆ ifs/Op               ┆ ifs                  │
│ ational.evtx         ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Dh ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Dhcp-Cli/Admi ┆ MS-Win-Dhcp-Cli      │
│ cp-Client%4Admin.evt ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ n                    ┆                      │
│ x                    ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Pa ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Partition/Dia ┆ MS-Win-Partition     │
│ rtition%4Diagnostic. ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ gnostic              ┆                      │
│ evtx                 ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Li ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-LiveId/Op     ┆ MS-Win-LiveId        │
│ veId%4Operational.ev ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
│ tx                   ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-We ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-WebAuthN/Op   ┆ MS-Win-WebAuthN      │
│ bAuthN%4Operational. ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
│ evtx                 ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-St ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-StorageSpaces ┆ MS-Win-StorageSpaces │
│ orageSpaces-Driver%4 ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ -Driver/Op           ┆ -Driver              │
│ Operational.evtx     ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Co ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ CodeInteg            ┆ MS-Win-CodeIntegrity │
│ deIntegrity%4Operati ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
│ onal.evtx            ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Us ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-UserPnp/Devic ┆ MS-Win-UserPnp       │
│ erPnp%4DeviceInstall ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆ eInstall             ┆                      │
│ .evtx                ┆                 ┆        ┆                      ┆                      ┆                      ┆                      │
├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ Microsoft-Windows-Nt ┆ WIN-VR474TJ38H3 ┆ 1      ┆ 2022-02-07           ┆ 2022-02-07           ┆ MS-Win-Ntfs/WHC      ┆ MS-Win-Ntfs          │
│ fs%4WHC.evtx         ┆                 ┆        ┆ 19:52:10.537 +09:00  ┆ 19:53:59.350 +09:00  ┆                      ┆                      │
╰──────────────────────┴─────────────────┴────────┴──────────────────────┴──────────────────────┴──────────────────────┴──────────────────────╯
Elapsed time: 00:00:04.406

fukusuket · 2024-11-12T13:39:47Z

eid-metrics

% ./hayabusa eid-metrics -d ../all-evtx/Logs_Client -q --include-computer WIN-VR474TJ38H3
Generating Event ID Metrics

Start time: 2024/11/12 22:39

Total event log files: 352
Total file size: 876.7 MB

Currently scanning for event ID metrics. Please wait.

[00:00:04] 352 / 352   [========================================] 100%

Scanning finished.

Total Event Records: 784,156

First Timestamp: 2022-02-07 19:52:10.537 +09:00
Last Timestamp: 2022-02-07 19:53:59.350 +09:00

╭───────┬───────┬────────────────────┬───────┬────────────────────────────────────────────────╮
│ Total ┆   %   ┆       Channel      ┆   ID  ┆                      Event                     │
╞═══════╪═══════╪════════════════════╪═══════╪════════════════════════════════════════════════╡
│ 147   ┆ 15.1% ┆ MS-Win-deviceMgmt- ┆ 813   ┆ Unknown                                        │
│       ┆       ┆ enterprise-Diag-Pr ┆       ┆                                                │
│       ┆       ┆ ov/admin           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 90    ┆ 9.3%  ┆ MS-Win-statereposi ┆ 271   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 89    ┆ 9.2%  ┆ Sys                ┆ 16    ┆ Kerberos key integrity                         │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 59    ┆ 6.1%  ┆ MS-Win-appxpackagi ┆ 216   ┆ Unknown                                        │
│       ┆       ┆ ng/Op              ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 42    ┆ 4.3%  ┆ MS-Win-Kern-pnp/Co ┆ 410   ┆ Unknown                                        │
│       ┆       ┆ nfig               ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 39    ┆ 4.0%  ┆ MS-Cli-licensing-p ┆ 116   ┆ Unknown                                        │
│       ┆       ┆ latform/admin      ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 39    ┆ 4.0%  ┆ MS-Cli-licensing-p ┆ 157   ┆ Unknown                                        │
│       ┆       ┆ latform/admin      ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 38    ┆ 3.9%  ┆ MS-Win-Kern-pnp/Co ┆ 400   ┆ Unknown                                        │
│       ┆       ┆ nfig               ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 19    ┆ 2.0%  ┆ MS-Win-Provision-D ┆ 20    ┆ Unknown                                        │
│       ┆       ┆ iag-Prov/admin     ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 19    ┆ 2.0%  ┆ Sec                ┆ 4624  ┆ Logon success                                  │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 16    ┆ 1.6%  ┆ MS-Win-audio/Op    ┆ 65    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 16    ┆ 1.6%  ┆ Defender           ┆ 5007  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 16    ┆ 1.6%  ┆ Sec                ┆ 4672  ┆ Admin logon                                    │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 13    ┆ 1.3%  ┆ MS-Win-Provision-D ┆ 11    ┆ Unknown                                        │
│       ┆       ┆ iag-Prov/admin     ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 13    ┆ 1.3%  ┆ MS-Win-Provision-D ┆ 10    ┆ Unknown                                        │
│       ┆       ┆ iag-Prov/admin     ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 12    ┆ 1.2%  ┆ Sec                ┆ 4688  ┆ Process created                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 12    ┆ 1.2%  ┆ MS-Win-Kern-shimen ┆ 4     ┆ Unknown                                        │
│       ┆       ┆ gine/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 11    ┆ 1.1%  ┆ MS-Win-Provision-D ┆ 91    ┆ Unknown                                        │
│       ┆       ┆ iag-Prov/admin     ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 11    ┆ 1.1%  ┆ MS-Win-statereposi ┆ 221   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 11    ┆ 1.1%  ┆ RDS-LSM            ┆ 34    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 11    ┆ 1.1%  ┆ Sec                ┆ 4735  ┆ Security-enabled local group changed           │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 11    ┆ 1.1%  ┆ Sys                ┆ 6     ┆ New kernel filter driver                       │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 11    ┆ 1.1%  ┆ Sec                ┆ 4731  ┆ Security-enabled local group created           │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 10    ┆ 1.0%  ┆ Sec                ┆ 4717  ┆ System security access granted to an account   │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 9     ┆ 0.9%  ┆ Sec                ┆ 4718  ┆ System security access removed from an account │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 8     ┆ 0.8%  ┆ MS-Win-diagnosis-d ┆ 135   ┆ Unknown                                        │
│       ┆       ┆ ps/Op              ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 8     ┆ 0.8%  ┆ MS-Win-statereposi ┆ 237   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 8     ┆ 0.8%  ┆ Sys                ┆ 7000  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 8     ┆ 0.8%  ┆ MS-Win-statereposi ┆ 236   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 6     ┆ 0.6%  ┆ Sec                ┆ 4738  ┆ User account changed                           │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 6     ┆ 0.6%  ┆ Firewall           ┆ 2004  ┆ Firewall rule add                              │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 5     ┆ 0.5%  ┆ MS-Win-Kern-pnp/Co ┆ 430   ┆ Unknown                                        │
│       ┆       ┆ nfig               ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 4     ┆ 0.4%  ┆ Sec                ┆ 5379  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 3     ┆ 0.3%  ┆ GrpPolicy          ┆ 5320  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 3     ┆ 0.3%  ┆ Sec                ┆ 4648  ┆ Explicit logon                                 │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 3     ┆ 0.3%  ┆ KernWHEA           ┆ 42    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 3     ┆ 0.3%  ┆ MS-Win-Univtelemet ┆ 1     ┆ Unknown                                        │
│       ┆       ┆ ryCli/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 3     ┆ 0.3%  ┆ Sec                ┆ 4732  ┆ Member added to security-enabled local group   │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 3     ┆ 0.3%  ┆ MS-Win-smbCli/Conn ┆ 30810 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ WMI                ┆ 5857  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-storage-sto ┆ 552   ┆ Unknown                                        │
│       ┆       ┆ rport/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ Sys                ┆ 7045  ┆ New windows service                            │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-statereposi ┆ 223   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-Kern-pnp/Co ┆ 403   ┆ Unknown                                        │
│       ┆       ┆ nfig               ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-Kern-boot/O ┆ 208   ┆ Unknown                                        │
│       ┆       ┆ p                  ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-Kern-boot/O ┆ 235   ┆ Unknown                                        │
│       ┆       ┆ p                  ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-ntfs/Op     ┆ 142   ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ Sys                ┆ 16977 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-storage-sto ┆ 548   ┆ Unknown                                        │
│       ┆       ┆ rport/health       ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-taskschedul ┆ 808   ┆ Unknown                                        │
│       ┆       ┆ er/maintenance     ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ Sec                ┆ 4725  ┆ User account disabled                          │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-readyboost/ ┆ 1026  ┆ Unknown                                        │
│       ┆       ┆ Op                 ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-appmodel-ru ┆ 39    ┆ Unknown                                        │
│       ┆       ┆ ntime/admin        ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-volumesnaps ┆ 101   ┆ Unknown                                        │
│       ┆       ┆ hot-driver/Op      ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ Firewall           ┆ 2006  ┆ Firewall rule deleted                          │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ Sys                ┆ 98    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-crypto-dpap ┆ 1     ┆ Unknown                                        │
│       ┆       ┆ i/Op               ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-smbSvr/Op   ┆ 1010  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-volumesnaps ┆ 100   ┆ Unknown                                        │
│       ┆       ┆ hot-driver/Op      ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ MS-Win-wcmsvc/Op   ┆ 1003  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 2     ┆ 0.2%  ┆ Sec                ┆ 4799  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ GrpPolicy          ┆ 4115  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4902  ┆ Per-user audit policy table created            │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 24    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 50103 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 55    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ GrpPolicy          ┆ 4116  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-appxpackagi ┆ 157   ┆ Unknown                                        │
│       ┆       ┆ ng/Op              ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-smbSvr/Op   ┆ 1025  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 3261  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ KernWHEA           ┆ 5     ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4696  ┆ Primary token assigned to process              │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-readyboost/ ┆ 1027  ┆ Unknown                                        │
│       ┆       ┆ Op                 ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 16983 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-deviceMgmt- ┆ 844   ┆ Unknown                                        │
│       ┆       ┆ enterprise-Diag-Pr ┆       ┆                                                │
│       ┆       ┆ ov/admin           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 20    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4720  ┆ User account created                           │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 12    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-smbCli/Conn ┆ 30812 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 25    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ App                ┆ 100   ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-userpnp/dev ┆ 8001  ┆ Unknown                                        │
│       ┆       ┆ iceinstall         ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 32    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 6009  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 50036 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 27    ┆ KDC encryption type configuration              │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ App                ┆ 5615  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-Kern-shimen ┆ 3     ┆ Unknown                                        │
│       ┆       ┆ gine/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Cli-licensing-p ┆ 100   ┆ Unknown                                        │
│       ┆       ┆ latform/admin      ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-smbSvr/Op   ┆ 1027  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-Univtelemet ┆ 64    ┆ Unknown                                        │
│       ┆       ┆ ryCli/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 7026  ┆ Windows service fail or crash                  │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4608  ┆ Windows startup                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-ncsi/Op     ┆ 4042  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-containers- ┆ 2     ┆ Unknown                                        │
│       ┆       ┆ wcifs/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4728  ┆ Member added to security-enabled global group  │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 521   ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-statereposi ┆ 265   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 153   ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-Univtelemet ┆ 50    ┆ Unknown                                        │
│       ┆       ┆ ryCli/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 51046 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-wcmsvc/Op   ┆ 1004  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-statereposi ┆ 269   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-wcmsvc/Op   ┆ 1009  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-liveid/Op   ┆ 2024  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 7023  ┆ Windows service fail or crash                  │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ RDS-LSM            ┆ 32    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-devicesetup ┆ 109   ┆ Unknown                                        │
│       ┆       ┆ Mgr/admin          ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-Univtelemet ┆ 62    ┆ Unknown                                        │
│       ┆       ┆ ryCli/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-statereposi ┆ 245   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ CodeInteg          ┆ 3085  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-wcmsvc/Op   ┆ 1026  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ WMI                ┆ 5861  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-Provision-D ┆ 90    ┆ Unknown                                        │
│       ┆       ┆ iag-Prov/admin     ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-webauthn/Op ┆ 2000  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4739  ┆ Domain policy changed                          │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 16962 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-storage-sto ┆ 549   ┆ Unknown                                        │
│       ┆       ┆ rport/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-wcmsvc/Op   ┆ 10001 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 172   ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 14    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-aad/Op      ┆ 1104  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-statereposi ┆ 100   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ WMI                ┆ 5859  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Cli-licensing-p ┆ 101   ┆ Unknown                                        │
│       ┆       ┆ latform/admin      ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-Univtelemet ┆ 61    ┆ Unknown                                        │
│       ┆       ┆ ryCli/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-ntfs/Op     ┆ 500   ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 1     ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-wcmsvc/Op   ┆ 1020  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ App                ┆ 1531  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-appmodel-ru ┆ 36    ┆ Unknown                                        │
│       ┆       ┆ ntime/admin        ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ App                ┆ 5617  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-statereposi ┆ 234   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ GrpPolicy          ┆ 5321  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-storage-sto ┆ 553   ┆ Unknown                                        │
│       ┆       ┆ rport/Op           ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-containers- ┆ 2     ┆ Unknown                                        │
│       ┆       ┆ bindflt/Op         ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-wcmsvc/Op   ┆ 10002 ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 5033  ┆ Firewall driver started                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ App                ┆ 0     ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-ntfs/whc    ┆ 100   ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-partition/d ┆ 1006  ┆ Unknown                                        │
│       ┆       ┆ iagnostic          ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-storagespac ┆ 207   ┆ Unknown                                        │
│       ┆       ┆ es-driver/Op       ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-statereposi ┆ 231   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-statereposi ┆ 216   ┆ Unknown                                        │
│       ┆       ┆ tory/Op            ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 18    ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-dhcp-Cli/ad ┆ 50041 ┆ Unknown                                        │
│       ┆       ┆ min                ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4907  ┆ Auditing settings on object changed            │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 4826  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ GrpPolicy          ┆ 5116  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sec                ┆ 5024  ┆ Firewall service started                       │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ Sys                ┆ 6005  ┆ Unknown                                        │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-appxpackagi ┆ 170   ┆ Unknown                                        │
│       ┆       ┆ ng/Op              ┆       ┆                                                │
├╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌┼╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤
│ 1     ┆ 0.1%  ┆ MS-Win-readyboost/ ┆ 1016  ┆ Unknown                                        │
│       ┆       ┆ Op                 ┆       ┆                                                │
╰───────┴───────┴────────────────────┴───────┴────────────────────────────────────────────────╯
Elapsed time: 00:00:04.336

fukusuket · 2024-11-12T13:41:08Z

csv-timeline

% ./hayabusa csv-timeline -o timeline.csv -d ../hayabusa-sample-evtx -w -q
Start time: 2024/11/12 22:40

Total event log files: 598
Total file size: 139.2 MB

Loading detection rules. Please wait.

Excluded rules: 23
Noisy rules: 12 (Disabled)

Deprecated rules: 216 (5.01%) (Disabled)
Experimental rules: 373 (8.65%)
Stable rules: 241 (5.59%)
Test rules: 3,700 (85.77%)
Unsupported rules: 45 (1.04%) (Disabled)

Correlation rules: 3 (0.07%)
Correlation referenced rules: 3 (0.07%)

Hayabusa rules: 175
Sigma rules: 4,139
Total detection rules: 4,314

Creating the channel filter. Please wait.

Evtx files loaded after channel filter: 585
Detection rules enabled after channel filter: 4,237

Output profile: standard

Scanning in progress. Please wait.

[00:00:07] 585 / 585   [========================================] 100%

Scanning finished. Please wait while the results are being saved.
Rule Authors:
...

YamatoSecurity

@fukusuket Thanks so much! LGTM!

fix: broken terminal table/progress bar completion

10b9e01

fukusuket self-assigned this Nov 12, 2024

fukusuket added the bug Something isn't working label Nov 12, 2024

fukusuket added this to the 2.19.0 milestone Nov 12, 2024

fukusuket marked this pull request as ready for review November 12, 2024 13:38

fukusuket requested a review from YamatoSecurity November 12, 2024 13:41

YamatoSecurity added 2 commits November 13, 2024 07:23

update changelog

a5f1b57

undo changelog

1a97386

YamatoSecurity approved these changes Nov 12, 2024

View reviewed changes

YamatoSecurity merged commit 00b062b into main Nov 12, 2024
5 checks passed

fukusuket deleted the 1487-fix-terminal-table-broken branch November 12, 2024 23:15

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

fix: broken terminal Table/Progress bar completion #1488

fix: broken terminal Table/Progress bar completion #1488

fukusuket commented Nov 12, 2024 •

edited

Loading

fukusuket commented Nov 12, 2024

fukusuket commented Nov 12, 2024

fukusuket commented Nov 12, 2024

fukusuket commented Nov 12, 2024

YamatoSecurity left a comment

fix: broken terminal Table/Progress bar completion #1488

fix: broken terminal Table/Progress bar completion #1488

Conversation

fukusuket commented Nov 12, 2024 • edited Loading

What Changed

Cause

Evidence

Integration-Test

fukusuket commented Nov 12, 2024

logon-summary

fukusuket commented Nov 12, 2024

log-metrics

fukusuket commented Nov 12, 2024

eid-metrics

fukusuket commented Nov 12, 2024

csv-timeline

YamatoSecurity left a comment

Choose a reason for hiding this comment

fukusuket commented Nov 12, 2024 •

edited

Loading