반응형
이벤트로그 분석 목적
- 시스템 이상 징후 파악
- 침해 징후 파악
- 다양한 포렌식 분석 (시스템 시간변경 여부, 시스템 시작/종료 상태 등)
이벤트로그 분석 도구
- Log Parser 2.2 – http://www.microsoft.com/en-us/download/details.aspx?id=24659
Log Parser 2.2
Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system,
www.microsoft.com
- Log Parser Studio – http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765
- GUI라서 분석은 편하나, 500MB 넘어가면 동작 잘 안하는 경우가 많음
TechNet Log Parser Studio
gallery.technet.microsoft.com
- MMA(Microsoft Message Analyzer) (2019/11/25 에 폐기됨)
- 이벤트로그, 패킷분석, IIS로그 등 대부분의 윈도우 생성 로그들을 분석해줌.
- 기능 아주 좋음! 이벤트 트레이스 로그까지 다 보여줌
- Sysmon (System Monitor)
- https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
- 워낙 강력하다보니 공격자가 설치하여 사용하기도 함
Sysmon - Windows Sysinternals
Monitors and reports key system activity via the Windows event log.
docs.microsoft.com
반응형
'Digital Forensics > Windows' 카테고리의 다른 글
| 이벤트로그 분석 - 시스템시간 변경 확인 (0) | 2021.01.11 |
|---|---|
| 이벤트로그 분석 - USB 연결흔적 확인 (1) | 2021.01.10 |
| 윈도우 이벤트로그(Windows EventLog) (0) | 2021.01.08 |
| Windows 10 레지스트리(Registry) 분석 (0) | 2020.12.31 |
| μTorrent Classic P2P 클라이언트 포렌식, μTorrent Web 포렌식 (0) | 2019.10.07 |
