본문 바로가기
포렌식/기초부터 따라하는 디지털 포렌식

Event Logs 개념 및 실습

by SH_L 2022. 7. 29.
반응형

[Event Logs]

 

로그란 컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것을 말한다. 이벤트 로그(Event Logs)는 Windows 운영체제에서 시스템의 로그를 남기는 방식으로 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있다. 이벤트 로그에는 시스템 로그, 응용 프로그램 로그, 보안 로그 등이 존재한다.

 

이벤트 로그에는 응용 프로그램 로그, 보안 로그, Setup 로그, 시스템 로그, 응용 프로그램 및 서비스 로그 등이 존재한다. 각각에 대한 설명은 아래와 같다.

 

 

응용 프로그램 로그: 데이터베이스 오류나 AV 로그와 같이 시스템 구성 요소를 제외한 응용 프로그램에서 발생한 이벤트 기록을 말한다. 기록할 이벤트 유형은 응용 프로그램 개발자가 결정한다.

 

보안 로그: 파일 만들기, 열기 등의 리소스 사용 이벤트 및 로그인 성공/실패, 보안 정책 변경과 같은 보안 이벤트 기록을 말한다. 기록할 이벤트 유형은 관리자에 의해 변경 가능하다. (유일하게 사용자가 변경 가능)

 

Setup 로그: 응용 프로그램 설치 및 설정과 관련한 이벤트 기록을 말한다.

 

응용 프로그램 및 서비스 로그: Internet Explorer, Microsoft Office 및 Windows Application 들에서 생성하는 다양한 로그를 말한다. Windows Defender(디펜더), Partition Diagnostic(USB 연결 흔적), WLAN Autoconfig(Wifi 연결) 등이 존재한다.

 

이벤트 로그의 경로는 C:\Windows\System32\winevt\Logs이다.

 

 

해당 경로에서 여러 로그 파일들을 확인할 수 있다. Application은 응용 프로그램 로그에 대응하고, Security는 보안 로그에 대응하고, System은 시스템 로그에 대응한다.

 

 

 

[이벤트 ID]

 

 

각각의 이벤트 로그는 이벤트 ID를 가진다. 시스템 Logon은 4624를 사용하고, 시스템 Logoff는 4634를 사용하는 것처럼 이벤트 ID 별로 나타내는 활동이 유사하다.

 

이벤트 ID는 아래 사이트들에서 검색이 가능하다.

 

https://kb.eventtracker.com/

 

EventTracker Knowledgebase

Security Event Log Knowledgebase

kb.eventtracker.com

 

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx

 

Windows Security Log Encyclopedia

 

www.ultimatewindowssecurity.com

 

 

 

[Practice]

 

 

이벤트 뷰어를 열어 사용자 지정 보기 만들기를 클릭한다.

 

 

Windows 로그와 응용 프로그램 및 서비스 로그를 체크한다.

 

 

소프트웨어 설치, 업데이트 및 삭제와 관련된 이벤트 ID인 6, 7045, 1022, 1033, 903-908, 800, 2, 19에 대해 필터링을 진행한다. 필터링을 적용한 결과를 software라는 이름으로 저장한다.

 

 

위와 같이 소프트웨어 설치, 업데이트 및 삭제와 관련된 이벤트 ID에 대한 정보를 확인할 수 있다.

 

 

다음으로 사용자 로그인과 관련된 이벤트 ID인 4740, 4728, 2732, 4756, 4735, 4624, 4625, 4648에 대해 필터링을 진행한다. 필터링을 적용한 결과를 User Login이라는 이름으로 저장한다.

 

 

위와 같이 사용자 로그인과 관련된 이벤트 ID에 대한 정보를 확인할 수 있다.

반응형