윈도우 이벤트로그 종류
로그(Log)는 시스템 사용에 괸련된 전체의 기록, 즉 입출력내용, 프로그램 사용내용, 자료변경내용, 시작시간, 종료시간 등의 기록한 정보를 의미합니다. 침해사고 발생 시점, 침입 경로, 공격자 추격 등 단서를 확보할 수 있어 침해사고 원인분석에 꼭 필요한 절차입니다.
Windows 시스템에서 각종 로그를 생성합니다.
※ 윈도우 운영체제에서의 이벤트 로그 위치 :
%systemroot%system32\winevt\Logs
* 주로 %systemroot는 C:\\Windows
C:\\Windows\system32\winevt\Logs
* 윈도우XP는 C:\\Windows\system32\config에 위치한다.
윈도우 이벤트 로그
1. 이벤트 뷰어 : 이벤트로그를 확인할 수 있다.
2. 이벤트 로그 종류
1) Application (응용 프로그램)
- 응용 프로그램이 기록된 다양한 이벤트가 저장되며, 기록되는 이벤트는 해당 제품의 개발자에 의해 결정된다.
- 예로, 안티바이러스 제품의 경우 악성코드 탐지 및 업데이트를 기록한다. 일반 프로그램의 겨우 활성화 여부와 성공 여부 등에 대한 정보를 기록한다.
- 위치 : C:\\Windows\system32\winevt\Logs\Application.evtx
2) Security (보안)
- 유효하거나 유효하지 않은 로그온 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트를 기록한다. 감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능하다.
- 위치 : C:\\Windows\system32\winevt\Logs\Security.evtx
3) Setup
- 어플리케이션 설치 시 발생하는 이벤트를 기록하고 프로그램이 잘 설치되었는지, 호환성문제는 없는지 확인 가능.
- 위치 : C:\\Windows\system32\winevt\Logs\Setup.evtx
4) System (시스템)
- Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드 되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록한다.
- 위치 : C:\\Windows\system32\winevt\Logs\Sysetm.evtx
3. 이벤트로그 경로, 최대크기, 유지기간 등 정보 확인가능한 레지스터
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog
* cf. 레지스터 편집기 들어가는 방법
윈도우키 + R키 > regedit입력
