이벤트로그 분석 - 시스템시간 변경 확인

시스템 시간 변경 관련 이벤트로그

1. 커맨드라인 명령어 

- 방법 : date/time 명령

 

- 이벤트로그 :

system.evtx (ID 1)

 

security.evtx (ID 4616)

 

2. 날짜 및 시간 애플릿

- 방법 : 제어판 -> 날짜 및 시간

 

- 이벤트로그 :

system.evtx (ID 1)

security.evtx (ID 4616)

// dllhost.exe가 변경

 

Microsoft-Windows-DateTimeControlPanel%4Operational.evtx (ID 20000)

// 제어판을 통해 변경한 경우에만 로그가 남음

 

 

3. 날짜 및 시간 윈도우

- 방법 : Windows 설정 -> 시간 및 언어 -> 날짜 및 시간

 

- 이벤트로그 :

system.evtx (ID 1)

security.evtx (ID 4616)

// SystemSettingsAdminFlows.exe가 변경

 

 

4. 시스템 자동 동기화 (by svchost.exe)