Security Log
Windows 이벤트 로그 분석
이벤트로그 확장자
▶ Windows XP, Server2003 : .evt
▶ Windows 7, Server2007(비스타 이후) : .evtx
저장장소
▶ C:\Windows\System32\Winevt\logs
Windows 이벤트로그를 분석하는 이유?
1) 해킹징후 파악
▶ 이벤트로그 변조흔적을 조사(관리자권한으로 삭제가능)
2) 시스템에서 발생한 사건
▶ 로그를 분석하여 침해대응자료 및 포렌식 증거자료로 활용가능
▶ 이벤트로그로 공격자의 행위를 분석
▶ 이벤트로그 분석 후 피해 입은 부분을 복구
내 PC에서 원격데스크톱, VPN 접속이력 확인방법
1) LogParser 설치
https://www.microsoft.com/en-us/download/details.aspx?id=24659
▶ 마이크로소프트에서 만들었으며 이상한프로그램 아닙니다.
2) 이벤트로그 복사
▶ LogParser가 설치된 경로에서 cmd창을 열기
▶ "C:\Windows\System32\winevt\Logs\System.evtx" 파일을 복사
3) 원격데스크톱 접속이력 확인
▶ LogParser.exe -i:evt
"select timeGenerated,EventID,Message
From "system.evtx 경로"
where message like '%remote desktop%'"
4) VPN 접속이력 확인
▶ LogParser.exe -i:evt
"select timeGenerated,EventID,Message
From "system.evtx 경로"
where message like '%vpn%'"
5) 접속지 확인
5145 네트워크 공유개체 검사
4416 메세지는 ...
아직 정확하지 않아서 추후 확인 후
추가하겠습니다.
'Security Log' 카테고리의 다른 글
웹 로그 분석 (0) | 2020.06.10 |
---|---|
정규표현식 (0) | 2020.06.09 |
Windows event viewer log 분석 (1) | 2019.10.06 |
보안로그분석 (0) | 2019.09.29 |
보안로그분석2 (0) | 2019.09.28 |
댓글