윈도우 이벤트 로그 (자료 조사)

윈도우 이벤트 로그로 할 수 있는 일은 무궁무진하다.

자료 조사를 해봤다. 

 

1. 그럼 윈도우이벤트 로그에 대한 책은 무엇이 있는가 (작성 중)

 

 

2. 윈도우 이벤트 로그에 대한 참조할만한 사이트를 보자.

- 윈도우즈 이벤트 로그 API

https://learn.microsoft.com/en-us/windows/win32/wes/using-windows-event-log

Using Windows Event Log - Win32 apps

 

- 자매품 ETW Api : 더 확장되고 고급 진 api

https://learn.microsoft.com/en-us/windows/win32/etw/event-tracing-portal

Event Tracing - Win32 apps

 

- 윈도우즈 이벤트 로그 각각에 대한 명세나 EVENT ID 상세는 없나.

MS는 왜 이런 문서를 만들지 않는가! 각성하라!! 으아아!! 일일이 찾아다녀야 하지 않은가!

그리고 F1 누르면 왜 아무것도 안나오냐!

 

- 윈도우 로그 (실시간 감시)

https://learn.microsoft.com/en-us/windows/win32/eventlog/receiving-event-notification

Receiving Event Notification - Win32 apps

 

3. 윈도우 이벤트 로그에 대한 정의를 해보자.

- 윈도우 이벤트 로그란 무엇인가

 

 

- 윈도우 이벤트로 할 수 있는 건 무엇인가

 

 

- 윈도우 이벤트의 상세 description을 알아보자. 

 

일반적인 윈도우 이벤트는 다음과 같이 생겼다.

ㄱ. 응용 프로그램(Appllication) : 

     

    - 로그 이름 / 원본 / 로그 날짜 / 이벤트 ID /  작업 범주 / 수준 / 키워드 / 사용자 / 컴퓨터 / OpeCode/ 추가 정보로 이뤄진다.

 

                         스키마는 다음과 같다. 

                       

                                이것을 XML로 보면 다음과 같다.

                                 

                                  위에 속성과 똑같이 나오는 것을 알 수 있다. 

 

                                Event {

                                       System {

                                                <Provider Name>

                                                <EventID:>

                                                 ...

                                                   }

                                        Event Data {

                                                <Data> 주요 내용

                                                  }

                                   }

                                 의 구조를 지닌다. 

 

                               이 내용은 API 쿼리를 쓰거나, XML 직접 파싱하면 될 것으로 보인다. 

 

                      * 크래시의 케이스 내용은 다음과 같다.

                       

                      위의 내용처럼, ! 느낌표 오류로 타이틀 표시가 되며, 행위 이벤트 로그는 1000이다. 

                       필터링은 이벤트 로그 종류가 "applictaion" && 이벤트 로그 == 1000 으로 필터링 해서 

                      원본 -> 어플리케이션 이름, 수준 ( 오류 ) 등을 알아낼 수 있다. 

 

                     이하 메모리 부족이나, 디스크 이상 등을 알아낼 수 있다. 

 

ㄴ. 보안

                   

                        주로 감사 관련된 내용이 나오는데, 이걸 잘 파악하면 AD나 원치 않는 정책 설정, 

                     외부 유입, 권한 설정 등을 감시할 수 있는 것으로 알고 있다. 나중에 알아볼 것

 

ㄷ. setup

                      설치 관련 정보, 별로 안땡긴다.

 

ㄹ. 시스템

                      가장 유효하고 중요한 정보들이 많으며, 어플리케이션 내용과 함께 감시할만 하다.

                     

                      이벤트 7002로서 종료 전에 Winlogon 즉, 사용자가 로그 오프하기 전에 알림이 나온다.

                   이것으로 사용자가 로그오프, 로그온을 전환했거나, 파워오프 메시지와 함꼐

                   사용자가 윈도우를 종료하려고 했구나 라는 단서를 알 수 있다. 

                       

                        XML 구조를 보면 알 수 있듯이, EventData 부분이 상세화 되어 있다. 

 

[추가 조사 필요 내용]

 

1) 자주 발생하는 문제에 대한 단서가 될만한 event id와 그 양상은 어떻게 되는가

ex)

       ㄱ. 응용 프로그램 크래시 -> 누가 자주 크래시 되는가 ?

       ㄴ. 파워부족, 종료, 재부팅, 절전 모드 -> 어떤 드라이버가 로드 실패 하거나 드라이버 로드 직 후 

            종료되는 현상이 있는가? 주변 부 어플리케이션은 동시간대 무엇이 있는가? 

       ㄷ. 메모리 할당 실패, 메모리 부족, 가상 메모리 부족

           그리고 연계되어 메모리 부족 시 다른 어플리케이션의 종료가 유발되는가? 연쇄 작용 파악

       ㄹ. cpu를 많이 쓰는 것이 있는가?

       ㅁ. 디스크 문제가 발생 시에 연관 이슈 발생 화인, 디스크 문제는 무엇으로 확인하는가

       ㅅ. 업데이트가 실패하는가? 

 

2) 이벤트 로그에서 더 나아가 감사 로그, 즉 외부에서 접근하는 remote나

    원격 접속, 원하지 않는 파일 생성, 파일 수정, 실행, 프로세스 실행 등이 존재하는가?

      네트워크 변화 유무를 팀지할 수 있는가?

 

 

3) 이벤트 로그 뷰어 쓸만한 것 좀 직접 만들어보자.

https://eventlogxp.com/

Windows event log analysis software, view and monitor system, application and security event logs — FSPro Labs

이게 괜찮다는데, 대체 왜 유료인걸까.

가격도 40만원 정도나 하는 것 같은데 솔직히 만들기 어려워보이진 않는다.

winapi로 다 만들 수 있고, 한번 나만의 이벤트 로그 뷰어를 만들어보기로 한다.

커스터마이징도 되고 통계로 추적까지 되는 걸 보자. 

(연관 추정 관계, 사건과 사건 간에 유의미한 연결 가능성 추적 등{동시간대 실행에 대한 유의미한 연결 가능성})