Log2timeline（Plaso）の SkyDrive（現在のOneDrive）のパーサ SkyDriveLogParser(Parse SkyDrive log files.)を試してみたいと思います。

SkyDrive（現在はOneDrive）については、データ同期用のフォルダが C:\Users\<ユーザー名>\OneDrive に作成されますが、設定関連についてはユーザープロファイルフォルダ配下の下記に関連するフォルダが作成されます。

C:\Users\<username>\AppData\Local\Microsoft\OneDrive

※フォルダ名は昔のバージョンでは SkyDrive になっているはずです。

ログファイルは C:\Users\ユーザー名\AppData\Local\Microsoft\SkyDrive\setup\logs フォルダ配下に存在しており、これはOneDriveアプリケーションをアンインストールしても残っているようです。

root@siftworkstation:/cases# log2timeline.py --parsers SkyDrive --output L2tcsv --logfile out.log -d skydrive_timeline.txt /cases/SkyDrive/

タイムラインをパースした結果は下記になります。日本語ファイル名やフォルダ名も特に文字化けはしないようですね。

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,01:05:49,UTC,....,LOG,SkyDrive Log File,Creation Time,-,-,told to add fldr=C04E8BE01D3DF127!113 (hoge) with eTag=C04E8BE01D3DF127!113.0...,[syncserviceproxy.cpp:1290!SyncServiceProxy::CreateNewFolderRealizerWorkItem] (NORMAL) told to add fldr=C04E8BE01D3DF127!113 (hoge) with eTag=C04E8BE01D3DF127!113.0 and parent fldr=C04E8BE01D3DF127!103 to lib=1  createIfMissing: 1  isLocalChange=0  originatorID=,2,/cases/SkyDrive/logs/forensics-WIN7PC.dev=0.2014-04-20.1003.6948-1.log,9699584,-,SkyDriveLogParser,

04/20/2014,01:05:49,UTC,....,LOG,SkyDrive Log File,Creation Time,-,-,told to add fldr=C04E8BE01D3DF127!118 (01) with eTag=C04E8BE01D3DF127!118.0 a...,[syncserviceproxy.cpp:1290!SyncServiceProxy::CreateNewFolderRealizerWorkItem] (NORMAL) told to add fldr=C04E8BE01D3DF127!118 (01) with eTag=C04E8BE01D3DF127!118.0 and parent fldr=C04E8BE01D3DF127!113 to lib=1  createIfMissing: 1  isLocalChange=0  originatorID=7dc5709e-48d2-4d11-8efa-9b4bc4617fd1,2,/cases/SkyDrive/logs/forensics-WIN7PC.dev=0.2014-04-20.1003.6948-1.log,9699584,-,SkyDriveLogParser,

Google DriveやOneDrive（SkyDrive）等のクラウド ストレージに関連したデータについては、SANS の下記資料が参考になります。

https://digital-forensics.sans.org/summit-archives/Prague_Summit/Cloud_Storage_Forensics_Mattia_Eppifani.pdf