Digital Forensics/Windows
이벤트로그 분석도구
CCIBOMB
2021. 1. 9. 20:20
반응형
이벤트로그 분석 목적
- 시스템 이상 징후 파악
- 침해 징후 파악
- 다양한 포렌식 분석 (시스템 시간변경 여부, 시스템 시작/종료 상태 등)
이벤트로그 분석 도구
- Log Parser 2.2 – http://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser 2.2
Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system,
www.microsoft.com
- Log Parser Studio – http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765
- GUI라서 분석은 편하나, 500MB 넘어가면 동작 잘 안하는 경우가 많음
TechNet Log Parser Studio
gallery.technet.microsoft.com
- MMA(Microsoft Message Analyzer) (2019/11/25 에 폐기됨)
- 이벤트로그, 패킷분석, IIS로그 등 대부분의 윈도우 생성 로그들을 분석해줌.
- 기능 아주 좋음! 이벤트 트레이스 로그까지 다 보여줌
- Sysmon (System Monitor)
- https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
- 워낙 강력하다보니 공격자가 설치하여 사용하기도 함
Sysmon - Windows Sysinternals
Monitors and reports key system activity via the Windows event log.
docs.microsoft.com
반응형