Digital Forensics/Windows2021. 1. 8. 21:13
반응형

윈도우 이벤트로그(Windows EventLog)

  • 모든 로그를 한 곳에 모으는 중앙집중화 방식으로 윈도우 NT부터 현재까지 사용됨
  • 이벤트로그 경로 : %SystemRoot%\System32\winevt\Logs\*.evtx
  • 윈도우Vista 이후부터 XML 기반의 이벤트로그 포맷변경 (EVT EVTX)
  • 윈도우Vista 이후부터 응용프로그램/서비스로그가 추가됨(300여개이상)

 

 

기본 이벤트로그

  1. 시스템 (System)
  • 윈도우 시스템 구성요소에서 기록한 이벤트 (드라이버 구성요소 로드오류 등)
  • 기록할 이벤트 유형은 미리 결정되어있음
  1. 응용프로그램 (Application)
  • 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
  • 기록할 이벤트유형은 응용프로그램 개발자가 결정
  1. 보안 (Security)
  • 파일만들기, 열기 등의 리소스 사용 이벤트 로그인성공/실패, 보안정책 변경과 같은 보안이벤트 기록
  • 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능)
  1. 설치 (Setup)
  • 응용프로그램 설치 설정과 관련한 이벤트 기록
  1. 전달된 이벤트 (ForwardedEvents)
  • 이벤트 가입을 통해 원격컴퓨터에서 수집한 이벤트를 저장하는데 사용

 

 

추가된 이벤트로그

  1. 응용프로그램 서비스 로그

//  오피스   대화상자로   나타나는   알림까지   기록

 

  1. Microsoft-Windows-<application/component>.evtx
  • 단일 응용프로그램 또는 구성요소의 이벤트를 저장

 

 

이벤트 로그 설정

  1. 주요 이벤트로그 레지스트리 설정 (regedit)
  • HKLM\SYSTEM\ControlSet00#\services\eventlog

 

  1. 감사정책 설정 (gpedit.msc)
  • GPEDIT.MSC → [컴퓨터구성] → [Windows 설정] → [보안설정] → [로컬정책] → [감사정책]

 

  1. 이벤트로그 크기 백업 설정
  • 시스템, 응용프로그램, 보안로그 기본크기 : 20MB
  • 로그 : 1,048 KB 내

 

 

이벤트로그 뷰어

  1. 윈도우 기본 프로그램 (eventvwr)

//  분석관들이 분석시 참고. 이벤트 속성 중 로그된 날짜, 이벤트 ID 정도를 많이 봄

 

이벤트 ID 검색 : https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx, http://eventopedia.cloudapp.net/

 

Windows Security Log Encyclopedia

 

www.ultimatewindowssecurity.com

 

//  대부분의 통합포렌식 프로그램은 이 정보만 보여줌

 

 

이벤트로그 파일 구조

※ 참고 : gflow-security.tistory.com/entry/Windows-Artifact6-EventLog

 

Windows Artifact[6] - EventLog[1]

이번 포스팅에서는 이벤트로그에 대해 알아 보겠으며, 구조, 주요 이벤트 로그에 대해 포스팅을 나눠 알아 보겠습니다. -------------------------------------------------------------------------------------..

gflow-security.tistory.com

// Evtx의 Record 각각 xml 형태로 저장됨

 

 

이벤트로그 복구방법

  1. 이벤트 로그 파일 카빙
  • Windows Event Log” 서비스 종료 파일삭제   파일 생성시간을 통해 삭제여부 확인

 

  1. 이벤트 레코드 카빙
  • “이벤트뷰어”의 “로그지우기” 기능으로 이벤트 삭제   파일은 원본 그대로 유지
  • 이벤트로그를 백업해 두었다가 삭제한 경우

 

  1. 이벤트 로그 카빙 도구
 

kkoha/EvtxCarv

recovers and reconstructs fragmented Evtx files from disk images, memory dumps, pagefiles and unallocated space - kkoha/EvtxCarv

github.com

 

 

이벤트로그 삭제방법

1. 자주 사용하는 이벤트로그 삭제 방식

  • [이벤트뷰어] → [동작] → [로그지우기]
  • wevtutil 명령을 이용한 삭제
    • $> wevtutil { cl |  clear-log }   <LOG_NAME> [/OPTION:VALUE]

 

2. 시큐리티 로그 삭제 이벤트는 시큐리티 로그에 쌓임(ID 1102)

 

3. 시큐리티 로그 모든 로그 삭제 이벤트는 시스템 로그에 쌓임(ID 104)

반응형
Posted by CCIBOMB