X-Ways Forensics

실무 활용 매뉴얼

Windows Event Logs 분석 [ by 김종광 ]

Windows Event Logs 분석
Windows 운영체제에서 발생 된 특정 이벤트를 추적하여 파티션 삭제, USB 접근 등 다양한 증거 수집이 가능합니다.

Windows Event Logs 분석
C:\Windows\System32\winevt\Logs 경로로 이동하면 Eventlog 파일의 리스트를 확인할 수 있습니다.

주요 Eventlog 파일

이벤트 로그 파일 이름 설명
Application.evtx 소프트웨어를 비롯해서 사용자의 어플리케이션의 이벤트를 기록
Security.evtx 보안 관련된 이벤트 로그, Windows 로그온, 네트워크 등 다양한 로그 기록
System.evtx 서비스 실행 여부나 파일 시스템, 디바이스 오류 등의 정보 기록
Setup.evtx 어플리케이션 설치 시 발생하는 이벤트를 기록하고 프로그램이 잘 설치되었는지, 호환성 관련 정보 기록

Windows Event Logs 분석
Eventlog 파일을 확인하기 위해 데이터 보기 형식을 변경합니다.

  • 1. Eventlog 파일 선택 (예제에서는 System.evtx 파일 선택)

  • 2. 파일보기 형식을 Preview 로 변경

  • 3. System 과 관련된 이벤트 리스트 확인 가능

Windows Event Logs 분석
조금 더 큰 화면으로 보기 위해 전용 Viewer 모듈을 활용할 수 있습니다.

  • 1. 이벤트 로그 파일 선택

  • 2. 마우스 우 클릭

  • 3. View 선택

Windows Event Logs 분석
Event Log 목록을 전용 뷰어를 이용하여 분석 가능합니다.