윈도우 이벤트 로그 분석-이벤트 뷰어(Eventvwr)
DFIR/이벤트 로그 분석2020. 3. 3. 09:46
반응형
Window OS에서 제공하는 이벤트 뷰어(eventvwr.msc)를 톻한 윈도우 이벤트 로그 분석
1.UI
이벤트 Export 가능 : evtx, xml, txt, csv 저장 가능
2. Filter
구성된 필터를 XML형태의 쿼리로 조회 및 편집이 가능하다.
3. 필터를 통한 조회
로드하고자 하는 쿼리 파일은 <QueryList>로 시작하는 XML 파일이어야 한다.
<security-event-view.xml>
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(Level=1 or Level=2 or Level=3 or Level=4 or Level=0 or Level=5) and TimeCreated[@SystemTime>='2019-06-01T06:21:55.000Z' and @SystemTime<='2019-07-15T06:21:55.999Z']]]</Select>
</Query>
</QueryList>
필터 로드 및 조회
c:\>eventvwr /v:"c:\DFIR\EventLog\security-event-view.xml"
. 사용자 지정 보기에 View_1 메뉴가 추가되면서 결과가 표시된다.
. 이 방법은 시스템에 변화를 발생시키므로 포렌식 분석 관점에서는 좋은 방법은 아니다.
반응형
'DFIR > 이벤트 로그 분석' 카테고리의 다른 글
| 윈도우 이벤트 로그 분석-WMI (0) | 2020.03.03 |
|---|---|
| 윈도우 이벤트 로그 분석-파워쉘(PowerShell) (0) | 2020.03.03 |
| 윈도우 이벤트 로그 분석-Visual Basic Script(vbs) (0) | 2020.03.03 |
| 윈도우 이벤트 로그 분석-이벤트 관리도구(wevtutil) (0) | 2020.03.03 |
| 윈도우 이벤트 로그 (0) | 2020.03.03 |
