Event Logs

• 로그란
  • 컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것

​

• 이벤트 로그 (Event Logs)
  • Windows 운영체제에서 시스템의 로그를 남기는 방식
  • 이벤트 뷰어(Event Viewer) 를 통해 확인할 수 있음
  • 시스템 로그, 응용프로그램 로그, 보안 로그 등이 존재
    • 응용프로그램 로그
    • 보안 로그
    • Setup 로그
    • 시스템 로그
    • 응용프로그램 및 서비스 로그

​

응용프로그램(Application)

• 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV- 안티바이러스 로그 등)
• 기록할 이벤트유형은 응용프로그램 개발자가 결정

​

보안(Security)

• 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인성공 / 실패, 보안정책 변경과 같은 보안이벤트
• 기록할 이벤트 유형은 관리자에 의해 변경 가능 (유일하게 사용자가 변경 가능)

​

설치(Setup)

• 응용프로그램 설치 및 설정과 관련한 이벤트 기록

​

응용 프로그램 및 서비스 로그

• Internet Explorer, Microsoft Office 및 Windows Application들에서 생성하는 다양한 로그
• Windows Defender, Partition Diagnostic (USB 연결 흔적), WLAN Autoconfig (Wifi 연결)

​

이벤트 로그 경로

• C:\Windows\System32\winevt\Logs

​

이벤트 ID

• 각각의 이벤트 로그는 이벤트 ID를 가짐
• 이벤트 ID별로 나타내는 활동이 유사함
  • EX) Logon : 4624, Logoff : 4634

​

어떤 이벤트 ID를 찾을 것인가?

[참고자료]

• Spotting the Adversary with Windows Event Log Monitoring, NSA
• Windows 10 and Windows Server 2016 security auditing and monitoring reference, Microsoft
• 윈도우 이벤트 로그 (EVTX) 분석 및 포렌식 활용방안, 강세림

​

이벤트 ID 검색 사이트

https://kb.eventtracker.com/

 

EventTracker Knowledgebase

EventTracker Security LLC develops enterprise class solutions to enable comprehensive Systems, Network and Compliance Management including EventTracker and WhatChanged.

kb.eventtracker.com

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx

 

Windows Security Log Encyclopedia

Windows Security Log Events Windows Audit Categories: Subcategories: Windows Versions: All events Win2000, XP and Win2003 only Win2008, Win2012R2, Win2016 and Win10+, Win2019 Category: All Windows 1100 The event logging service has shut down Windows 1101 Audit events have been dropped by the transpo...

www.ultimatewindowssecurity.com

https://eventid.net/ // 현재 지원 중단

​

[실습]

• 이벤트 ID를 찾아보자
  • 이벤트 뷰어 "사용자 지정 보기 만들기"
• 소프트웨어 설치, 업데이트 및 삭제
  • 6,7045,1022,1033,903-908,800,2,19
• 사용자 로그인
  • 4740,4728,2732,4756,4735,4624,4625,4648

​

1. 사용자 지정 보기 만들기

window + s -> 이벤트 뷰어 검색 후 실행

​

windows 로그 -> 시스템 -> 사용자 지정 보기 만들기

로그 기간 - 모든 기간

로그 별 - 이벤트 로그 - windows 로그, 응용프로그램 및 서비스 로그 선택

*외부의 이벤트 로그 파일들을 가져와서 분석할 경우

동작 - 저장된 로그 열기를 통해 불러온 후 저장된 로그를 선택하면 됨*

​

2. 소프트웨어 설치, 업데이트 및 삭제

작업 범주 - 소프트웨어 설치, 업데이트 및 삭제 범주 붙여넣기

​

계속하기

​

software라는 이름으로 만들어주기

​

• 정보 살펴보기
  • 악성코드의 실행, 설치에 대한 정보 찾기
  • 데이터가 방대하기 때문에 이전의 prefetch에서 악성 코드가 있었다면 타임데이터를 가져와서 그 시간대를보는것이 좋음

​

3. 사용자 로그인 관련 데이터 보기

사용자 지정 보기- 다음과 같이 설정

User Logon으로 파일이름 지정

​

결과 값

​

+) 윈도우 잠금(windows + L) 후 다시 이벤트 뷰어창을 열어보면 상단에 새 이벤트를 사용할 수 있다는 문구를 볼 수 있다.

이후 다른 탭(software등) 으로 잠시 이동했다가 돌아오면

이렇게 새 이벤트가 반영되고 방금 전 내가 윈도우 락을 걸었다 해제한 이벤트를 확인할 수 있다.

하단의 탭을 살펴보면

계정이 성공적으로 로그온 되었습니다. 라는 문구와 함께 기타 정보를 찾아볼 수 있다.