Windows 이벤트 로그 분석
이벤트로그 확장자
▶ Windows XP, Server2003 : .evt
▶ Windows 7, Server2007(비스타 이후) : .evtx
▶ C:\Windows\System32\Winevt\logs
Windows 이벤트로그를 분석하는 이유?
1) 해킹징후 파악
▶ 이벤트로그 변조흔적을 조사(관리자권한으로 삭제가능)
2) 시스템에서 발생한 사건
▶ 로그를 분석하여 침해대응자료 및 포렌식 증거자료로 활용가능
▶ 이벤트로그로 공격자의 행위를 분석
▶ 이벤트로그 분석 후 피해 입은 부분을 복구
내 PC에서 원격데스크톱, VPN 접속이력 확인방법
1) LogParser 설치
Log Parser 2.2
Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system,
▶ 마이크로소프트에서 만들었으며 이상한프로그램 아닙니다.
2) 이벤트로그 복사
▶ LogParser가 설치된 경로에서 cmd창을 열기
▶ "C:\Windows\System32\winevt\Logs\System.evtx" 파일을 복사
3) 원격데스크톱 접속이력 확인
▶ LogParser.exe -i:evt
"select timeGenerated,EventID,Message
From "system.evtx 경로"
where message like '%remote desktop%'"
4) VPN 접속이력 확인
▶ LogParser.exe -i:evt
"select timeGenerated,EventID,Message
From "system.evtx 경로"
where message like '%vpn%'"
5) 접속지 확인
5145 네트워크 공유개체 검사
4416 메세지는 ...
아직 정확하지 않아서 추후 확인 후