Windows Event Log (1) - 개요

Event Log는 단어 그대로 Event(사건) Log(이력) 이라고 이해하면 감이 올 것.

Windows의 운영체제는 Event Log라고 정의된 데이터를 생성하고 기록하며 사용자가 확인이 가능함.

하지만 Event Log에 기록되는 정보는 너무 방대하고 분석하기 힘들기에 조금이라도 도움이 되기 위한 글을 작성한다.

 

[ Event Log 파일들의 저장 경로 ]

- C:\Windows\System32\winevt\Logs (Windows7,8,10)

- C:\Windows\System32\config (WindowsXP)

 

[ 파일 특징 ]

- evtx 확장자로 저장되며, 파일을 더블클릭 해 실행하면 Log 내용을 확인할 수 있다.

- 해당 파일만 따로 복사하여 다른 컴퓨터에서 확인도 가능하다. (Windows)

- Forensic 진행 시 해당 파일을 이용, 타임라인을 형성해 (ON/OFF , 원격 접속 이력 등) 분석에 뒷받침할 수 있는

  근거를 찾을 수 있다.

- 각 이벤트 로그 파일들은 다른 종류의 이력을 포함하고 있으며, 같은 카테고리지만 다른 내용을 포함할 수 있다.

  (System On/Off에 관련된 내용이지만 두 개의 파일로 찢어지거나 하는 등)

 

[ 포렌식 분석 관점으로 사용할 수 있는 부분 ]

- System On/Off 시간을 분석해 특정 시점으로 분석 범위를 줄일 수 있음.

- USB 연결/연결해제 시간 등 이력 확인으로 외장저장장치를 연결한지, 언제 연결했는 지 등 확인 가능.

- 원격 프로그램(rdp) 접속 이력을 확인해 어떤 IP가 어느 시간대에 접속 했는지 확인 가능.

- Bluetooth 무선 연결과 유선 모바일 연결 등 어떤 모바일 기기를 연결했는지 확인 가능.