이벤트 로그

Windows 동작 과정에서 발생한 이벤트들 기록. 

관리자와 사용자가 로컬 컴퓨터 및 원격 컴퓨터에서 기록된 로그를 볼 수 있도록 한다.

시스템의 어떤 구성 요소가 언제 시작됐는지, 어떤 이유로 동작을 실패했는지, 어떠한 동작이 끝마쳤는지 기록한다.

 

시스템 이벤트의 예시

- 사용자 계정 생성, 암호 변경, 권한 변경

- 시스템 로그인 성공, 실패

- 프로세스 시작 및 종료

- 시스템 원격 로그인

- 저장장치 연결

 

이벤트 로그는 시스템에서 발생한 사용자 행위를 파악하는 데 직접적인 도움을 줄 수 있다.

시스템에서 발생한 오류, 보안 결함에 대해서도 추적할 수 있다.

악성 코드로 인한 침해 사고가 발생된 경우에도 어디서 어떻게 침투했는지, 내부에서 어떻게 동작했는지 다양한 이벤트 로그를 통해 분석할 수 있다.

이벤트 로그 분석

Windows에서 제공하는 이벤트 뷰어가 있다.

 

Windows + S 누르고 이벤트 뷰어를 검색하면 나온다.

 

- 응용프로그램 (Application)

시스템 구성 요소를 제외한 응용프로그램에서 발생한 이벤트 기록.

작업 성공 여부나 동작 중 오류 여부 등을 기록.

- 보안 (Security)

파일 열기, 만들기 같은 시스템 리소스 사용 이벤트

로그인 성공/실패, 시스템 보안 정책 변경 같은 보안 이벤트.

유일하게 사용자가 기록할 이벤트 유형을 변경할 수 있다.

- 설치 (Setup)

응용프로그램 설치나 설정과 관련된 이벤트 기록

- 응용프로그램 및 서비스 로그

Internet Explorer, Microsoft Office, Windows Defender (방화벽) , Partition Diagnostic (USB 연결 흔적), WLAN Autoconfig (WiFi 연결) 등 많은 Windows 제공 기능이 포함된다.

이벤트 로그 경로

C:\Windows\System32\winevt\Logs

경로에 존재한다.

 

Security.evtx, System.evtx, Application.evtx는 각각 보안, 시스템, 응용 프로그램에 대응한다.

다른 evtx 파일들 역시 이벤트 뷰어의 세부 항목에 대응된다. 이벤트 뷰어 프로그램은 evtx 파일을 보여주고 검색할 수 있는 프로그램이다.

 

evtx 포맷은 Windows Vista / 2008 이후부터 사용된 이벤트 로그 포맷이고

그보다 이전에는 evt 라는 포맷을 이용했다.

evtx 파일에 기록되는 이벤트들은 여러 속성을 가진다.

 

 

EventID는 4624인데 사용자 계정의 로그온 이벤트를 나타낸다.

로그온 성공 이벤트이기 때문에 심각도가 낮아 Level은 0이며, 로그온 이벤트라 Security UserID는 별도로 없지만,

하단의 TargetUserSid는 맨 뒤 숫자가 1001로 끝나는 걸로 보아 일반 사용자 계정에 로그인했음을 알 수 있다.

SID 1000 이상은 일반 사용자 계정이다.

이벤트 로그 수집

FTK Imager로 해당 경로에서 Logs 폴더 전체를 export 하면 된다.

주요 이벤트 로그

 

EventID가 같다고 모두 동일한 내용을 가지는 것은 아니다.

일반적으로 EventID 10000은 네트워크 프로필을 찾아보기 위해 검색되지만,

동일한 EventID 10000 중에서 네트워크 프로필을 가지지 않은 경우도 있다.

EventID 기반으로 이벤트 로그를 검색해보되, 이벤트 로그의 상세 내용을 읽어본 후에 사실관계를 판단해야 한다.

이벤트 로그 검색

1. 윈도우 이벤트 로그(EVTX) 분석 및 포렌식 활용방안

기업 보안, 악성코드 탐지 관점에서 주요 이벤트 로그들을 선정하고,

이벤트 로그 ID를 분류 및 분석한 논문.

2. Windows 10 and Windows Server 2016 security auditing and monitoring reference

Windows에서 개발한 Microsoft 사에서 이벤트 로그를 통해 보안 감사, 모니터링을 안내하기 위해 공식적으로 발간한 문서.

3. Windows Security Log Events, Ultimate IT Security

ㄱ