[Windows Forensic Artifacts - 1] Event Log

윈도우 아티팩트들에 대해 차례대로 정리해보려고 한다.

아티팩트는 소프트웨어가 동작하면서 자동으로 생성한 흔적을 표현하기 위한 용어이다.

쉽게 흔적이라고 생각하면 된다.

윈도우 아티팩트는 윈도우 운영체제에서 소프트웨어들이 동작하면서 남긴 흔적들을 의미한다.

첫 스타트는 이벤트 로그인데, 이벤트 로그가 무엇인지 살펴보자.

윈도우 이벤트 로그

- 윈도우 시스템이 동작하는 과정에서 발생하는 특정 이벤트들을 종합적이고 체계적으로 로그 기록

[시스템의 성능, 오류, 경고 및 운용정보 등의 중요정보 기록 - 침해사고 대응에 더 유용]

- 대부분의 기록을 담당

[시스템 on/off, 원격 네트워크 연결, 응용 프로그램 동작 여부, 시스템 관련 전반적인 모든 것]

-  기록된 로그들은 각각 이벤트 ID 할당

[이벤트 ID를 알고 있으면 원하는 정보를 빠르게 확인 가능]

- 시스템에서 발생하는 취약점, 장애원인, 성능관리, 외부 침입 감지 및 위치 추적등을 분석

- Microsoft 공식 문서에서 모든 이벤트 로그의 유형을 검색할 수 있음

 

Tip) 대량의 이벤트 로그의 특성과 타입을 알 수 없지만 자주 사용하는 이벤트 로그의 ID를 외우면 좋다.

 

주요 이벤트 로그

Application.evtx (응용 프로그램 로그)

C:\Windows\System32\winevt\Logs\Application.evtx

소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 기록

응용 프로그램이 기록한 다양한 이벤트가 저장되며, 기록되는 이벤트는 소프트웨어 개발자에 의해 결정된다.

 

Security.evtx (보안 로그)

C:\Windows\System32\winevt\Logs\Application.evtx

보안 관련된 이벤트 로그, Windows로그온, 네트워크 등 다양한 로그 기록

유효하거나 유효하지 않은 로그온 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트를 기록한다. 감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능하다.

 

System.evtx (시스템 로그)

C:\Windows\System32\winevt\Logs\System.evtx

서비스 실행 여부나 파일 시스템, 디자이스 오류 등의 정보 기록

Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드 되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록한다.

 

Setup.evtx (설치 로그)

C:\Windows\System32\winevt\Logs\Setup.evtx

어플리케이션 설치 시 발생하는 이벤트를 기록하고 프로그램이 잘 설치되었는지, 호환성 관련 정보 기록

프로그램이 잘 설치되었는지 그리고 호환성 문제가 일어나지 않는지 이 기록을 보면 알 수 있다.

 

이벤트 로그 ID 찾기

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

 

이벤트 로그의 심각도 분류

- 시스템 및 응용프로그램 로그에서 분류되는 심각도 수준

구분	설명
정보	작업이 완료되었거나 리소스가 만들어졌거나 서비스가 시작되는 등 응용 프로그램 또는 구성 요소에 변경 내용이 발생했음을 나타냄. (Level 4)
경고	서비스에 영향을 줄 수 있거나 조치를 취하지 않을 경우 더 심각한 문제를 일으킬 수 있는 문제가 발생했음을 나타냄. (Level 3)
오류	이벤트를 트리거한 응용 프로그램 또는 구성 요소 외부에 있는 기능에 영향을 줄 수 있는 문제가 발생했음을 나타냄. (Level 2)
위험	이벤트를 트리거한 응용 프로그램 또는 구성 요소가 자동으로 복구할 수 없는 오류가 발생했음을 나타냄. (Level 1)

 

- 보안로그에서 나타날 수 있는 이벤트 심각도 수준

구분	설명
성공 감사	사용자 권한을 성공적으로 실행했음을 나타냄. (Level 0)
실패 감사	사용자 권한 실행에 실패했음을 나타냄. (Level 0)

 

 

 

이벤트 뷰어 사용법

cmd "eventvwr.msc"

이벤트 ID를 알고 있다면, 현재 로그 필터링을 통해 필터링 가능.

 

 

사용할 수 있는 툴

Log Parser https://iprize.tistory.com/665

ELK, Event Log Explorer http://www.igloosec.co.kr/BLOG_ELK%EC%99%80%20Event%20Log%20Explorer%EB%A5%BC%20%EC%9D%B4%EC%9A%A9%ED%95%9C%20%EB%8C%80%EC%9A%A9%EB%9F%89%20%EC%9D%B4%EB%B2%A4%ED%8A%B8%20%EB%A1%9C%EA%B7%B8%20%EB%B6%84%EC%84%9D?searchItem=&searchWord=&bbsCateId=1&gotoPage=3 

 

 

Reference

[운영체제 심각도]

http://www.forensic-artifact.com/windows-forensics/windowseventlogs

http://blog.plura.io/?p=2713 

 

[주요 이벤트 로그]

https://kali-km.tistory.com/entry/Windows-Event-Log-2-%E2%80%93-%EC%A3%BC%EC%9A%94-%EC%9D%B4%EB%B2%A4%ED%8A%B8-%EB%A1%9C%EA%B7%B8

 

[윈도우 이벤트 보는 법]

https://easy7.tistory.com/571