윈도우 이벤트 로그는 말 그대로 Windows 라는 운영체제의 Event를 기록하는 시스템이다.
Application, System, setup, security 등으로 구분할 수 있다.
파일이 저장되어 있는 경로는 다음의 경로에 각각의 이름.evtx 로 저장되어 있다.
C:\Windows\System32\winevt\Logs
-
Application.
이름 그대로 응용프로그램에 관련한 로그를 기록한다. -
Security.
보안과 관련하여 Windows 로그 온, 네트워크 기록등을 기록한다.
파일 생성, 접근 등과 계정 삭제, 로그인 / 로그 오프등 다양한 요소가 기록된다. -
System.
서비스의 실행 여부 / 파일 시스템과 HW의 오류등을 기록한다. -
Setup.
응용프로그램들을 설치 시 발생하는 이벤트들을 기록한다.
또한 각각의 구성요소들에 대해서도 살펴보자.
| Name | Explain |
|---|---|
| Source | Event가 발생한 Process |
| Event ID | Event 별 할당된 고유의 숫자 |
| Level | Event의 단계[정보, 경고, 오류, 심각, 성공, 실패] |
| User | 사용자 이름 |
| Operational Code(=opcode) | Application에서 event가 발생할 때 수행되는 작업을 구별하는 숫자 값 |
| Log | Event가 기록된 Log의 명칭 |
| Task Category | Event의 세부 정보 표현 |
| Keywords | Event를 구별하는데 사용하는 keyword |
| Computer | PC의 이름 |
| Date and time | Event 발생 날짜와 시간 |
| Process ID | Event 생성 ID |
| Thread ID | Event 생성 ID |
해당 사진에 도표에 작성한 값들이 있음을 확인할 수 있다.
Event ID
정렬 순서를 크기 기준이 아니라 의미 단위로 정리하였다.
(Win 10)
| Event ID | Meaning |
|---|---|
| 12 | System 시작 |
| 13 | System 종료 |
| 6013 | System 작동 시간 - 초 단위로 기록 |
| 1074 | PC의 Off / Restart를 수행 |
| 42 | 절전 모드 On, 자동(=System 유휴 시간), 수동(=응용프로그램 API) |
| 1 | 절전 모드 off |
| 10000 | Network On |
| 10001 | Network Off |
| 1024 | Host to Guest 원격 데스크톱 연결 |
| 1025 | - |
| 1027 | - |
| 1028 | - |
| 1029 | - |
| 1102 | - |
| 4648 | - |
| 24 | Host to Guest 원격 데스크톱 해제 |
| 25 | - |
| 40 | - |
| 41 | - |
| 42 | - |
| 261 | - |
| 1149 | - |
| 4689 | Guest to Host 원격 데스크톱 연결 |
| 24 | Guest to Host 원격 데스크톱 해제 |
| 40 | - |
작성 중 ( 구체적인 분석 방법)
Forensic/Security/IT