로그 : 컴퓨터를 이용한 기록 등이 컴퓨터 내에 남아있는 것
- 이벤트 로그(Event Logs)
• Windows 운영체제에서 시스템의 로그를 남기는 방식
• 이벤트 뷰어(Event Viewer)를 통해 확인할 수 있음
• 시스템 로그, 응용프로그램 로그, 보안 로그 등이 존재
- 이벤트 로그(Event Logs)
• 응용 프로그램 로그
• 보안 로그
• Setup 로그
• 시스템 로그
• 응용프로그램 및 서비스 로그
- 응용프로그램(Application)
• 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
• 기록할 이벤트유형은 응용프로그램 개발자가 결정
• 보안(Security)
• 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인성공/실패, 보안정책 변경과 같은 보안이벤트
• 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능한 event log)
• 설치 (Setup)
• 응용프로그램 설치 및 설정과 관련한 이벤트 기록
• 응용 프로그램 및 서비스 로그
• Internet Explorer, Microsoft Office 및 Windows Application 들에서 생성하는 다양한 로그
• Windows Defender(디펜더), Partition Diagnostic(USB 연결 흔적), WLAN Autoconfig(Wifi 연결) 등
이벤트 로그 경로 : C:\Windows\System32\winevt\Logs
- 이벤트 ID
• 각각의 이벤트 로그는 이벤트 ID를 가짐
• 이벤트 ID 별로 나타내는 활동이 유사함
• ex) Logon: 4624, Logoff: 4634
- 이벤트 ID 종류 엄청 많기 때문에 어떤 id를 찾을지 설정 필요
• Spotting the Adversary with Windows Event Log Monitoring, NSA
• Windows 10 and Windows Server 2016 security auditing and monitoring reference, Microsoft
• 윈도우 이벤트 로그(EVTX) 분석 및 포렌식 활용방안, 강세림(서비스 종료)
이벤트 ID 검색 사이트 원하는 이벤트 아이디를 찾아서 어떤 이벤트인지 알 수 있음
• https://kb.eventtracker.com/
• https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx
• https://eventid.net/ (현재 지원 중단)
- 이벤트 ID 찾아보기
• 이벤트 뷰어 “사용자 지정 보기 만들기”
• 소프트웨어 설치, 업데이트 및 삭제 관련 ID들 : 6,7045,1022,1033, 903-908, 800,2,19
• 사용자 로그인(사용자가 언제 컴퓨터를 사용했는지 확인 가능) : 4740,4728,2732,4756,4735,4624, 4625,4648
