Windows Forensics

윈도우 포렌식

Windows Event Logs

개요

  • 윈도우 운용과정에서 발생하는 특정 이벤트들을 종합적이고 체계적으로 로그 기록
    [시스템의 성능, 오류, 경고 및 운용정보 등의 중요정보 기록]
  • 기록된 로그들은 각각 이벤트 ID 할당
    [Evnet ID를 알고 있으면 원하는 정보를 빠르게 확인 가능]
  • 시스템에서 발생하는 취약점, 장애원인, 성능관리, 외부 침입 감지 및 추적 등을 분석

주요 이벤트 로그

  • Application.evtx 응용 프로그램 로그

  • System.evtx 시스템 로그

  • Setup.evtx 설치 로그

  • Security.evtx 보안 로그

C:\Windows\System32\winevt\Logs
Event log 파일 경로

C:\Windows\System32\winevt\Logs\Application.evtx
소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 기록

C:\Windows\System32\winevt\Logs\Security.evtx
보안 관련된 이벤트 로그, Windows 로그온, 네트워크 등 다양한 로그 기록

C:\Windows\System32\winevt\Logs\System.evtx
서비스 실행 여부나 파일 시스템, 디바이스 오류 등의 정보 기록

C:\Windows\System32\winevt\Logs\Setup.evtx
어플리케이션 설치 시 발생하는 이벤트를 기록하고 프로그램이 잘 설치되었는지, 호환성 관련 정보 기록

HKLM\SYSTEM\CurrnetControlSet\Services\Eventlog
레지스트리에 기록되는 Event Log 경로

좌측 운영체제 카테고리에서 Windows 이벤트 로그 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
이벤트 ID, 보안 사용자 ID, 이벤트 데이터 정보를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 Windows 이벤트 로그 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\System32\winevt\Logs

EnCase에서 Windows Event Log 정보 확인
경로는 C:\Windows\System32\winevt\Logs

경로를 찾아 들어가 보면 Windows Event Log의 주요 이벤트 로그
Appliacation.evtx, System.evtx, Setup.evtx, Security.evtx를 확인할 수 있습니다.

각 이벤트 로그들은 Hex View를 통해서 정보를 확인할 수 있습니다.
Appliacation.evtx 는 Windows 소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 저장합니다.

System.evtx는 Windows 시스템에서 기록하는 로그로 서비스 실행 여부나 파일 시스템 필터, 디바이스 오류 등의 정보를 기록합니다.

Security.evtx는 보안 관련된 이벤트 로그만을 기록하고, 보안 관련된 프로그램의 동작을 모니터링 하면서 그 외에도 Windows 로그온, 네트워크 등 다양한 보안 로그들을 기록합니다.

Setup.evtx는 어플리케이션 설치 시 발생하는 이벤트를 기록하고 프로그램이 잘 설치되었는지, 호환성 문제는 없는지 확인 가능 합니다.

%SystemRoot%\System32\Winevt\Logs

[Windows Evtx EventLog]

Windows\System32\Winevt\Log

Windows\System32\Winevt\Log\Security.evtx

Windows\System32\Winevt\Log\System.evtx

Windows\System32\Winevt\Log\Setup.evtx

System\Contrlset00\Services\Eventlog

System\Contrlset00\Services\Eventlog\System

System\Contrlset00\Services\Eventlog\Security

System\Contrlset00\Services\Eventlog\Application

1.FullEventLogView를 이용하여 Eventlog를 간단하게 분석 가능
로컬 컴퓨터의 이벤트, 네트워크에 있는 원격 컴퓨터의 이벤트 및 .evtx 파일에 저장된 이벤트 확인 가능

상단의 창을 통해 지난 7일 동안의 모든 이벤트를 확인하고 하단 창을 통해 이벤트에 대한 세부 정보 확인

2.EventLogChannelsView를 이용하여 이벤트 로그 분석

채널 이름, 채널의 현재 이벤트 수, 이벤트 로그 파일 이름, 활성화/비활성화 상태 정보 확인 가능

3.EventLogSourcesView를 이용하여 이벤트 로그 분석

이벤트 소스 이름, 유형, 이벤트 메시지 문자열이 포함 된 DLL/EXE 파일, 레지스트리 수정 시간 및 제품 이름, 회사, 버전 정보 확인 가능