윈도우 이벤트 로그(Windows Event Log)

Page info

• Page type : PFP Reference
• Knowledge location : 1. Windows System Analysis >> Artifact Analysis >> Event Log
• Other Reference : http://portable-forensics.com/document.html
• PFP & Manual downLoad : http://portable-forensics.com/download.html

이벤트 로그 분석

윈도우 이벤트 로그는 윈도우의 운용과정에서 발생하는 특정 동작(이벤트)을 체계적으로 기록한 바이너리 로깅 시스템이다. 물론, 윈도우도 시스템 방화벽, 응용프로그램 관리 등에 관한 로그를 텍스트 형태로 기록하고 있지만, 이벤트 로그에서는 시스템의 전반적인 동작을 보다 종합적이고 체계적으로 기록하므로 디지털 포렌식 조사시 중요하게 살펴 보아야 할 대상이다. 

단, 시스템 운용 로그라는 관점에서 볼 때, 이벤트 로그는 사용자의 행위 보다는 시스템의 운용상태를 알 수 있는 정보가 많다. 따라서 사건 용의자에 관한 부정조사 보다는  침해사고 대응에 효과적으로 이용되는 것이 현실이기도 하다. 

침해사고 조사 시 이벤트 로그를 면밀하게 살펴 본다면, 악성코드가 실행된 원인을 비롯하여 유입 경로(내부 네트워크) 등 다양한 정보를 획득할 수 있을 것이다.

이벤트 ID

이벤트 로그의 분석은 결국 기록된 이벤트 로그의 의미와 기록 원인을 파악하는 것이 과정이라고 볼 수 있다. 이때 각각 기록된 로그의 의미는 각 로그가 가지는 이벤트 ID로 구분할 수 있는데, 이벤트 로그 파일을 정확하게 획득하여도 기록된 로그의 이벤트 ID 의미를 알지 못하면 무용지물이라고도 할 수 있다. 

이벤트 ID에 관한 정보를 확인하기 좋은 사이트로는 eventid.net과 ultimatewindowssecurity.com 등이 있으며, 검색엔진 검색을 통해서도 많은 정보를 얻을 수 있으므로 참고하도록 하자.

아래는 침해사고 조사시 주로 확인되는 몇가지 이벤트 ID에 관한 예시이다. 실제 조사시에는 아래 표의 이벤트 ID에만 의존해서는 안되며, 숙지하고 있는 주요 이벤트 ID에 관해 빠르게 확인한 후 사건과 관련된 키워드 검색 및 관련 시간대에 존재하는 이벤트 로그를 정밀하게 조사하는 것이 바람직하다.

이와 같은 이유로, 개인 혹은 조직별로 주로 확인해보아야 할 이벤트 ID와 특징에 관한 분류 체계를 구성하여 정보를 꾸준히 축적한다면, 훨씬 효율적으로 경쟁력있는 조사를 수행할 수 있을것이다.

이벤트 ID에 관한 분류 체계는 그 자체만으로도 하나의 연구주제가 될만큼 광범위한 내용을 다뤄야 하므로 여기서는 이정도로 내용을 마치겠다(필자 역시 실제 분석에 임할때, 키워드 검색과 관련 시간대 로그 확인, 구글링을 통한 ID의미 확인을 통해 결론을 도출하고 있다). 또한 Windows Vista 이상의 버전에서는 Security, System, Application 로그 외에도 수많은 로그가 존재하며, 이벤트 로그 분석의 중요성이 점차 증대되고 있음을 기억하자.

분석 대상(Target)

※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
   (PFP Manual, PFP Download, PFP home)

*.evt (XP or lower)

Target Path(Location)

%SystemRoot%\System32\Config\SysEvent.Evt %SystemRoot%\System32\Config\AppEvent.Evt %SystemRoot%\System32\Config\SecEvent.Evt

Check List

Remote Logon or access Account create or delete Service strat or end Process start System halt

Related Tools

elex

윈도우 XP 이하 버전에 존재하는 이벤트 로그는 evt라는 확장자를 가지며 System, Security, Application 로그에 모든 정보를 저장한다. Vista 이상의 이벤트로그에 비해 상대적으로 빈약한 정보를 제공하지만 사건의 단서를 얻기에는 충분한 로그를 기록한다. 

*.evtx(Vista or higher)

Target Path(Location)

%SystemRoot%\System32\winevt\Logs\security.evtx %SystemRoot%\System32\winevt\Logs\system.evtx %SystemRoot%\System32\winevt\Logs\application.evtx %SystemRoot%\System32\winevt\Logs\*.evtx

Check List

Remote Logon or access Account create or delete Service strat or end Process start System halt

Related Tools

elex

윈도우 Vista 이상 버전에서는 System, Security, Application 로그 이외에도 다양한 로그가 존재한다. Task Scheduler, RDP Connection 등 포렌식 관점의 유용한 이벤트를 별도의 파일로 보관하므로 이벤트로그가 존재하는 경로 내의 모든 .evtx파일을 수집하여 경우에 따라 정밀하게 조사할 필요가 있다. 

• Task Scheduler Log Name : Microsoft-Windows-TaskScheduler%4Operational.evtx
• RDP Connection Log Name : Microsoft-Windows-TerminalServices-RemoteConnection Manager%4Operational.evtx
• External-Device Usage : Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx