[Windows] 이벤트 로그
2024. 1. 2. 21:00
윈도우에서 발생한 이벤트 로그를 볼 때는 '이벤트 뷰어'를 검색하거나 실행창에 'eventvwr' 실행
1. 응용프로그램
- 응용프로그램의 실행, 종료, 발생한 에러, 업데이트 정보 등 응용 프로그램 관련 기본적인 로그 저장
- 응용프로그램과 관련된 로그는 이벤트 로그에도 존재하지만 개별 로그 파일로 존재할 수 도 있다.
=> 이것은 응용 프로그램을 개발할 때 개발자의 선택에 의해 결정됨
2. 보안 로그
- 로그인 성공(실패), 계정 생성, 권한 부여, 프로세스 생성 등의 로그 저장
- 침해대응 시 우선적으로 분석해야하는 로그
- 보안 로그 분석 시, 중요 포인트는 이벤트ID, 키워드다.
* 이벤트 ID는 해당 이벤트가 어떤 행위에 대한 로그인지 알려주는 정보이다.
* 키워드는 해당 행위의 성공 여부를 알려준다.
*
- 윈도우는 대부분의 로그 생성이 비활성화 상태이다.
- 이 상태로 분석을 한다면 제대로 분석할 수 없으므로 필요한 로그 설정을 해주어야 한다.
[설정]
검색창에 '로컬 보안 정책' 또는 실행창에 secpol.msc 실행 - 로컬 정책 - 감사 정책 - 원하는 항목 우클릭 - 속성
- 감사 이벤트 구성 체크
[세부 설정]
검색창에 '로컬 보안 정책' 또는 실행창에 secpol.msc 실행 - 고급 감사 정책 구성 - 시스템 감사 정책
- 원하는 항목 우클릭 - 속성 - 감사 이벤트 구성 체크
3. 시스템 로그
- 부팅, 하드웨어 오류 등 Windows 시스템 구성 요소와 관련된 로그 저장
=> 시스템 가동 여부, 드라이버 로딩 등은 침해 분석 시에 참고