Windows event viewer log 분석

윈도우즈 이벤트뷰어에 있는

Windows log를 추출해보려고 합니다.

 

환경먼저 적어보도록 할게요.

OS : Windows 10 pro

Language : Python3

lib : virtualenv, python-evtx, bs4, lxml

Event viewer path : C:\Windows\System32\winent\Logs

[테스트로 setup.evtx만 추출했습니다.]

Extractor xml path : C:\%homepath%\Desktop\script_check\test_log

제 기준으로 했기 때문에

xml 추출경로는 수정하셔도 됩니다.

---

파이썬 라이브러리 설치 및 환경구성을 볼까요?

1. virtualenv evtx
2. call evtx/scripts/activate
3. pip3 install python-evtx
4. pip3 install bs4
5. pip3 install lxml

위와 같이 설치해주면 됩니다.

 

이제 이벤트뷰어를 추출해보려고 합니다.

[그림1] event viewer 확인

총 9개가 있네요.

 

[그림2] setup.evtx을 xml로 추출

"C:\Windows\System32\winevt\Logs\Setup.evtx"의 내용을

xml로 추출하였습니다.

 

[그림3] 9개의 xml을 추출

추출된 xml을 열어볼까요?

 

[그림4] 2_record.xml 화면

SystemTime을 확인할 수 있습니다.

우리나라는 표준시간에 9시간을 더해야해서

9시간을 더해주어야 동일합니다.

 

[그림5] SystemTime만 추출

총 9개의 SystemTime을 출력했습니다.

 

이벤트로그를 요약해보면

application.evtx - 응용프로그램 로그 
system.evtx - 시스템 로그 
setup.evtx - 설치 로그 
security.evtx - 보안 로그

정도로 볼 수 있습니다.

 

추출에 사용한 소스입니다.

[그림6] my__evtx_dump.py 소스

윈도우즈 이벤트로그를 xml로 추출하는 소스입니다.

---

[그림7] get_setup_info.py 소스

xml에서 systemtime속성만 추출하는 소스입니다.