data leakage case #12, window event log (system on/off)
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx "Windows Security Log Events"
#12. List all traces about the system on/off and the user logon/logoff.
(It should be considered only during a time range between 09:00 and 18:00 in the timezone from Question 4.)
2가지 툴을 이용한 이벤트 로그 분석
1. microsoft message analyzer
2. LogParserStudio_LPSV2.D1
Windows 4624 An account was successfully logged on
Windows 4625 An account failed to log on
Windows 4647 User initiated logoff
Windows 4648 A logon was attempted using explicit credentials
Windows 4608 Windows is starting up
Windows 4609 Windows is shutting down
1. Microsoft message analyzer 를 이용한 이벤트 로그 분석
가. 분석 PC 이벤트 로그를 다음의 경로에서 추출한다.
%systemroot%\System32\winevt
나. Microsoft message analyzer 를 통해 해당 로그를 불러온 후 다음과 같이 필터링 한다.
*eventId == 4624 or *eventId == 4647 or *eventId == 4608 or *eventId == 4609
여기서 보여지는 timestamp 값은, HOST PC 의 timezone 에 해당하는 값으로, Target PC의 Time zone을 적용하기 위해서는 -13 hour 를 하면 된다.
다. 우측상단의 Export 메뉴를 통해, 결과파일을 다음과 같이 .csv 파일로 export 할 수 있다.
최초에 export 를 할 경우 한글이 깨져서 나오는데, 다음과 같이 해결한다.
1) export.csv 파일을 메모장으로 연다.
2) 다른 이름으로 저장할 때, 인코딩을 "utf-8" 변경한 후 저장하면, 새로 저장된 .csv 파일은 한글이 깨지지 않는다.
[참고] http://yaraba.tistory.com/512
2. Log Parser Studio 를 이용한 이벤트 로그 분석
가. 분석할 이벤트 로그를 다음과 같이 선택한다. (Choose log files/folders to query)
Add folder 메뉴는 버그로 작동하지 않아, Add files 를 통해 모든 파일을 불러온다.
나. "Create a new query" 를 통해 새로운 질의창을 생성하고, Log Type: EVTLOG 를 선택한다.
다. 다음의 쿼리를 실행한다.
SELECT * FROM '[LOGFILEPATH]'
WHERE (EventID = 4624) OR (EventID = 4647) OR (EventID = 4608) OR (EventID = 4609)
ORDER BY TimeGenerated ASC
라. CSV 파일로 export 한다.
마찬가지로 한글이 깨지지만, 메모장으로 연 후 "utf-8" 인코딩으로 다른이름저장하면 한글이 깨지지 않는다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
data leakage case #14, artifacts of WEB (0) | 2018.09.18 |
---|---|
data leakage case #13, Web application check (0) | 2018.09.18 |
data leakage case #10~11, application install/execution logs (0) | 2018.09.17 |
data leakage case #9, network interface with IP (0) | 2018.08.10 |
data leakage case #8, last shutdown date/time (0) | 2018.08.10 |