Security Log

Windows 이벤트 로그 분석

D4tai1 2020. 6. 10.

이벤트로그 확장자

▶ Windows XP, Server2003 : .evt

▶ Windows 7, Server2007(비스타 이후) : .evtx

저장장소

▶ C:\Windows\System32\Winevt\logs

Windows 이벤트로그를 분석하는 이유?

1) 해킹징후 파악

▶ 이벤트로그 변조흔적을 조사(관리자권한으로 삭제가능)

2) 시스템에서 발생한 사건

▶ 로그를 분석하여 침해대응자료 및 포렌식 증거자료로 활용가능

▶ 이벤트로그로 공격자의 행위를 분석

▶ 이벤트로그 분석 후 피해 입은 부분을 복구

내 PC에서 원격데스크톱, VPN 접속이력 확인방법

1) LogParser 설치

https://www.microsoft.com/en-us/download/details.aspx?id=24659

Log Parser 2.2

Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system,

www.microsoft.com

▶ 마이크로소프트에서 만들었으며 이상한프로그램 아닙니다.

2) 이벤트로그 복사

▶ LogParser가 설치된 경로에서 cmd창을 열기

▶ "C:\Windows\System32\winevt\Logs\System.evtx" 파일을 복사

3) 원격데스크톱 접속이력 확인

▶ LogParser.exe -i:evt

"select timeGenerated,EventID,Message

From "system.evtx 경로"

where message like '%remote desktop%'"

4) VPN 접속이력 확인

▶ LogParser.exe -i:evt

"select timeGenerated,EventID,Message

From "system.evtx 경로"

where message like '%vpn%'"

~~5) 접속지 확인~~

~~5145 네트워크 공유개체 검사~~

~~4416 메세지는 ...~~

아직 정확하지 않아서 추후 확인 후

추가하겠습니다.

저작자표시 비영리 변경금지

'Security Log' 카테고리의 다른 글

웹 로그 분석 (0)	2020.06.10
정규표현식 (0)	2020.06.09
Windows event viewer log 분석 (1)	2019.10.06
보안로그분석 (0)	2019.09.29
보안로그분석2 (0)	2019.09.28