[ccibomb@CRG]# _bykim

윈도우 이벤트로그(Windows EventLog)

• 모든 로그를 한 곳에 모으는 중앙집중화 방식으로 윈도우 NT부터 현재까지 사용됨
• 이벤트로그 경로 : %SystemRoot%\System32\winevt\Logs\*.evtx
• 윈도우Vista 이후부터 XML 기반의 이벤트로그 포맷변경 (EVT ➔ EVTX)
• 윈도우Vista 이후부터 응용프로그램/서비스로그가 추가됨(300여개이상)

기본 이벤트로그

1. 시스템 (System)

• 윈도우 시스템 구성요소에서 기록한 이벤트 (드라이버 및 구성요소 로드오류 등)
• 기록할 이벤트 유형은 미리 결정되어있음

1. 응용프로그램 (Application)

• 시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트기록 (데이터베이스오류, AV 로그 등)
• 기록할 이벤트유형은 응용프로그램 개발자가 결정

1. 보안 (Security)

• 파일만들기, 열기 등의 리소스 사용 이벤트 및 로그인성공/실패, 보안정책 변경과 같은 보안이벤트 기록
• 기록할 이벤트유형은 관리자에 의해 변경가능 (유일하게 사용자가 변경가능)

1. 설치 (Setup)

• 응용프로그램 설치 및 설정과 관련한 이벤트 기록

1. 전달된 이벤트 (ForwardedEvents)

• 이벤트 가입을 통해 원격컴퓨터에서 수집한 이벤트를 저장하는데 사용

추가된 이벤트로그

1. 응용프로그램 및 서비스 로그

1. Microsoft-Windows-<application/component>.evtx

• 단일 응용프로그램 또는 구성요소의 이벤트를 저장

이벤트 로그 설정

1. 주요 이벤트로그 레지스트리 설정 (regedit)

• HKLM\SYSTEM\ControlSet00#\services\eventlog

1. 감사정책 설정 (gpedit.msc)

• GPEDIT.MSC → [컴퓨터구성] → [Windows 설정] → [보안설정] → [로컬정책] → [감사정책]

1. 이벤트로그 크기 및 백업 설정

• 시스템, 응용프로그램, 보안로그 기본크기 : 20MB
• 그 외 로그 : 1,048 KB 내

이벤트로그 뷰어

1. 윈도우 기본 프로그램 (eventvwr)

※ 이벤트 ID 검색 : https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx, http://eventopedia.cloudapp.net/

이벤트로그 파일 구조

※ 참고 : gflow-security.tistory.com/entry/Windows-Artifact6-EventLog

// Evtx의 Record는 각각 xml 형태로 저장됨

이벤트로그 복구방법

1. 이벤트 로그 파일 카빙

• “Windows Event Log” 서비스 종료 후 파일삭제 ➔  파일 생성시간을 통해 삭제여부 확인

1. 이벤트 레코드 카빙

• “이벤트뷰어”의 “로그지우기” 기능으로 이벤트 삭제 ➔  파일은 원본 그대로 유지
• 이벤트로그를 백업해 두었다가 삭제한 경우

1. 이벤트 로그 카빙 도구

•  EvtxCarv, https://github.com/kkoha/EvtxCarv

이벤트로그 삭제방법

1. 자주 사용하는 이벤트로그 삭제 방식

• [이벤트뷰어] → [동작] → [로그지우기]
• wevtutil 명령을 이용한 삭제
  • $> wevtutil { cl |  clear-log }   <LOG_NAME> [/OPTION:VALUE]

2. 시큐리티 로그 삭제 이벤트는 시큐리티 로그에 쌓임(ID 1102)

3. 시큐리티 로그 외 모든 로그 삭제 이벤트는 시스템 로그에 쌓임(ID 104)