Plaso是一個框架，用于運行模塊以提取各種類型文件的時間戳。Plaso攝取模塊運行Plaso生成事件，這些事件顯示在“尸檢時間軸”中。有關Plaso的更多信息，請參見文檔。

運行模塊

Plaso提取模塊可運行數十個單獨的解析器，并且可能需要很長時間才能運行。在測試中，最慢的解析器迄今為止是winreg，pe和chrome_cache。chrome_cache始終被禁用，因為它會復制“ 最近活動模塊”創建的事件。您可以選擇在攝取模塊配置面板上啟用winreg和pe模塊。

Plaso將僅在磁盤映像數據源上運行。

查看結果

Plaso事件將顯示在時間軸時間軸中。請注意，由Plaso創建的事件不會顯示在樹查看器中。