[AXIOM] 윈도우 이벤트 로그 분석기능

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 AXIOM에서의 윈도우 이벤트 로그 분석기능에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

Windows Event Logs

이벤트를 로깅하는 기능은 1990년대 초반 이래로 활용되고 있습니다.

초창기 이벤트 로그는 오늘날의 로그와 같은 세밀한 면은 부족하였으나, 윈도우 운영체제가 기록하는 중요 어플리케이션과 시스템의 활동을 열람하기 위한 표준화된 포맷과 중앙집중화된 위치를 제공하였습니다.

 

일반적으로, 이벤트의 유형은 다음과 같은 것을 포함합니다.

- 경고, 에러, 성공, 실패

 

윈도우 운영체제의 최근 버전은 이벤트 로그 파일에 포함된 세밀함의 정도를 확장시켰습니다.

그럼에도 불구하고 Windows Event Log Application Programming Interface(API)를 이용하는 서비스의 숫자가 증가되었고 이벤트 로그로 기록될 수 있는 다양한 서비스들 간의 상호운용가능성이 증가되었으며, 기본적인 기능도 여전히 동일합니다.

 

AXIOM은 다음의 경로에 위치한 *.evt, *.evtx 파일을 파싱합니다.

Windows\System32\winevt\Logs

 

 

파싱된 데이터의 항목은 다음과 같습니다.

- 숫자로 된 Event ID

- 해당 로그 엔트리와 관련된 Security Identifier (SID)

- 해당 로그 엔트리의 생성일시

- 이벤트에 대한 간단한 요약

- 이벤트의 수준(level)

- 해당 로그 엔트리와 관련된 서비스

- 컴퓨터의 이름

- 해당 로그 엔트리에 대한 상세한 이벤트 데이터

 

과거에는 핵심적인 시스템 수준의 이벤트 3개(Application, Security, System)만 처리하였지만 현재 해당 로그폴더에는 100개 이상의 이벤트 로그가 존재합니다.

각각의 이벤트 로그는 운영체제가 만든 것으로 수백개의 개별 엔트리가 포함되어 있을 가능성이 있습니다.

윈도우 기반 이벤트 로그 이외에도, 제3의 어플리케이션은 맞춤형 이벤트 로그를 제공하여야 하는데, 그것은 Windows API의 요구사항에 맞추기 위함입니다.

이벤트 로그를 만드는 데 제3의 어플리케이션의 기능을 추가하게 됨에 따라 로그 파일의 분석량이 급증하게 되어 분석이 더욱 어려워졌습니다.

 

Windows Event Log Filtering

조사자의 어려움은 엄청난 량의 이벤트 엔트리에서 조사와 가장 관련된 엔트리들만 선별하여 조사의 범위를 줄여 나가야 한다는 것 입니다.

예) 노트북에서 무선 네트워크로 성공적으로 연결한 횟수, 사용자 계정이 만들어지거나 삭제된 내역 등

 

무선 네트워크 연결의 경우, ‘Microsoft-Windows-WLAN-AutoConfig’서비스가 로그 엔트리의 Provider임을 착안하여 AXIOM의 Event Description Summary 컬럼에서 ‘WLAN’으로 검색하여 범위를 좁혀 나갑니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)