Как устранить ошибку pytz.exceptions.AmbiguousTimeError?
Задача построить таймлайн всех событий системы (windows 10), используя PLASO
Копия диска в формате dd сделана.
Сбор логов с файла.dd утилитой log2timeline.py проведен, на выходе имеем файл test.plaso.
При обработке файла test.plaso утилитой psort.py (конвертация в файл test.csv) происходит ошибка:
Traceback (most recent call last):
File "/usr/bin/psort.py", line 99, in
if not Main():
File "/usr/bin/psort.py", line 76, in Main
tool.ProcessStorage()
File "/usr/lib/python3/dist-packages/plaso/cli/psort_tool.py", line 593, in ProcessStorage
analysis_engine.ExportEvents(
File "/usr/lib/python3/dist-packages/plaso/multi_processing/psort.py", line 1042, in ExportEvents
self._ExportEvents(
File "/usr/lib/python3/dist-packages/plaso/multi_processing/psort.py", line 588, in _ExportEvents
self._ExportEvent(
File "/usr/lib/python3/dist-packages/plaso/multi_processing/psort.py", line 482, in _ExportEvent
self._FlushExportBuffer(
File "/usr/lib/python3/dist-packages/plaso/multi_processing/psort.py", line 640, in _FlushExportBuffer
output_module.WriteEventMACBGroup(macb_group)
File "/usr/lib/python3/dist-packages/plaso/output/l2t_csv.py", line 237, in WriteEventMACBGroup
output_text = self._event_formatting_helper.GetFormattedEventMACBGroup(
File "/usr/lib/python3/dist-packages/plaso/output/l2t_csv.py", line 48, in GetFormattedEventMACBGroup
field_value = self._field_formatting_helper.GetFormattedField(
File "/usr/lib/python3/dist-packages/plaso/output/formatting_helper.py", line 403, in GetFormattedField
output_value = callback_function(event, event_data, event_data_stream)
File "/usr/lib/python3/dist-packages/plaso/output/formatting_helper.py", line 315, in _FormatTimeZone
return self._output_mediator.timezone.tzname(datetime_object)
File "/usr/lib/python3/dist-packages/pytz/tzinfo.py", line 499, in tzname
dt = self.localize(dt, is_dst)
File "/usr/lib/python3/dist-packages/pytz/tzinfo.py", line 363, in localize
raise AmbiguousTimeError(dt)
pytz.exceptions.AmbiguousTimeError: 1996-10-27 02:41:18
Я так понимаю, что в логах имеется событие с несуществующим временем 1996-10-27 02:41:18 для временной зоны Europe/Moscow (переход на зимнее время) и утилита psort.py не может его обработать. Как исправить данную ошибку? И откуда в логах событие с таким временем 1996 год? Нид хелп.