윈도우 Log Parser를 이용한 윈도우 이벤트 로그 검사하기

황제낙엽 2017.06.21 13:35 조회 수 : 96

sitelink1	http://iprize.tistory.com/665
sitelink2
sitelink3
extra_vars6

시중에는 시스템의 각종 로그를 검사하고 분석해주는 툴들이 많이 있다. 하지만 조그만 기업이나 개인 사용하기에는 너무 비싸고 어렵기만 하다. 뭐 여기서 설명하는 것도 그닥 쉬운 편은 아니지만.

시스템 로그를 위해 비싼 로그 점검 툴을 살 필요없이 마이크로 소프트에서 제공하는 무료 툴로 로그를 점검 및 분석해보자.

1. Log Parser v2.2 설치하기

Log Parser는 로그, XML, CSV파일과 같이 텍스트로 구성된 데이터뿐만 아니라 이벤트 로그, 레지스트리 파일시스템, 액티브 디렉토리와 같은 윈도우즈 운영체제의 주요 데이터 소스를 쿼리를 통해서 접근할 수 있는 방법을 제공하는 기능이 많고 강력한 도구이다. 사용자가 Log Parser에 필요한 정보를 제공하고 처리 방법을 알려주면 처리 결과를 원하는 형태의 텍스트나 SQL, SYSLOG, 또는 차트와 같이 특정 형태로 유지될 수도 있다. (원문)

아래 주소에서 Log Parser를 내려 받아 설치하여 준다.

http://www.microsoft.com/en-us/download/details.aspx?id=24659

2. Log Parser Studio v.2.D2 설치하기

Log Parser를 실행하면 커맨드 프롬프트 화면에 도움말을 표시한 후 커서 프롬프트가 깜빡거릴 것이다. 즉, SQL 언어를 모르면 사용하기가 무척 어렵다. 이를 위해 마이크로 소프트에서 Log Parser를 사용하기 쉽도록 GUI 기반의 툴인 Log Parser Studio를 제공한다.

Log Parser Studio는 IIS, 이벤트, EXADB 및 기타 여러 형태의 로그를 분석하고 레포트를 생성할 수 있는 유틸리티이다. 이는 Log Parser 2.2와 함께 구동되며 SQL 쿼리를 쉽게 생성하고 관리할 수 있는 사용자 인터페이스를 제공한다. (원문)

아래 주소에서 Log Parser Studio를 내려 받자. Log Parser Studio는 설치할 필요 없이 압축을 푼 후 그 안의 LPS.exe를 실행하면 된다.

http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765

Log Parset Studio 실행화면

3. 윈도우 이벤트 로그 파일을 분석하자

이벤트 로그에 감사 추적 로그를 기록하도록 GPO를 통해 설정해 두었다면 설정에 맞는 이벤트들이 기록될 것이다. 이제 Log Parser Studio의 예제 중 하나를 가지고 설명해보자.

설치 후 Library를 보면 'EVENTS: Find All Remote Logons' 예제를 볼 수 있다. 내 컴퓨터에서는 이 쿼리가 잘못 검색하여 아래와 같이 수정하였다.

기본적인 SQL 구조를 알고 있어야 아래 구문을 이해할 수 있을 것이다. 기본 SQL 구문 설명은 따로 하지 않는다. 이벤트 파일의 필드 중 Strings는 Event Message를 담고 있는 필드로 '|'로 구분된 텍스트 메시지이다. Event Message에 대한 자세한 사항은 아래 첨부된 Windows 7/Server 2008 R2 Security Event Descriptions를 참고하기 바란다. 또한 이벤트 파일이 어떤 필드로 이루어져 있는지 확인하기 위해서는 'SELECT TOP 0 * From Security' SQL문으로 확인이 가능하다.

SELECT
      timegenerated,
      EXTRACT_TOKEN(Strings,2,'|') AS Domain,
      RESOLVE_SID(EXTRACT_TOKEN(Strings,4,'|')) AS User,
      EXTRACT_TOKEN(Strings,3,'|') AS SessionName,
      RESOLVE_SID(EXTRACT_TOKEN(Strings,11,'|')) AS ClientName,
      EXTRACT_TOKEN(Strings,18,'|') AS ClientAddress,
      EventID
FROM Security
WHERE EventID=4624 /* xp/2003 = 682 */
ORDER BY timegenerated

EXTRACT_TOKEN 함수는 Strings 텍스트를 '|'로 분리하여 지정된 순번의 데이터를 가져오는 함수이다. 각 필드 위치에 맞게 데이터를 가져와 화면에 표시하며 그 결과는 아래와 같다.

결과 화면

참고 자료

1. Log Parser Function Reference -

FunctionReference.html

2. Windows 7/Server 2008 R2 Security Event Descriptions

Windows_7_and_Windows_Server_2008_R2_Security_Event_Descriptions

이 게시물을

번호	제목	sitelink1	글쓴이	날짜	조회 수
135	윈도우10 에서 네트웍 드라이브 (SMB) 사용하기		황제낙엽	2018.03.03	197
134	윈도우10 에서 컴퓨터 이름, 네트웍 ID, 환경 변수등 변경하는 속성창 띄우기		황제낙엽	2018.03.03	77
133	윈도우10 업데이트 끄기 설정하는 방법	http://cafe.naver.com/wese1245/496	황제낙엽	2017.12.11	3702
132	작업 스케줄러 실행 오류 (2147943712)		황제낙엽	2017.11.27	1704
131	[문법] DOS 명령어		황제낙엽	2017.11.25	93
130	BAT 파일에 접근 권한 부여하기 (cacls)	http://cecildesk.tistory.com/entry/Windo...0%EB%95%8C	황제낙엽	2017.11.07	2033
129	윈도우 서비스 시작 중지 명령어		황제낙엽	2017.11.07	217
128	[일본어 자판] 윈도우10에서 한국어 자판 사용시 "変換" 키를 단축키 지정하는 법		황제낙엽	2017.10.18	194
127	[RDP Wrapper Library v1.6.1] 원격데스크톱 다중 접속(Multi session) : RDP Wrapper	https://github.com/stascorp/rdpwrap/releases	황제낙엽	2017.09.17	659
126	java 프로그램을 주기적으로 실행하는 배치 예제		황제낙엽	2017.08.22	67
125	Windows 10, 원격 데스크톱 연결 (Remote Desktop Connection / RDC), 다중모니터		황제낙엽	2017.08.08	237
124	원격 데스크톱 연결 (Remote Desktop Connection / RDC), 다중모니터, /multimon	http://lansaid.tistory.com/736	황제낙엽	2017.08.05	166
123	윈도우 용량 줄이기 안전하게 WinSxS 폴더 삭제 dism.exe 윈도우폴더 용량 줄이는법	http://startdownload.tistory.com/42	황제낙엽	2017.06.21	324
122	Log Parser Studio 사용팁	http://iprize.tistory.com/668	황제낙엽	2017.06.21	236
121	Log Parser Studio	http://iprize.tistory.com/666	황제낙엽	2017.06.21	52
»	Log Parser를 이용한 윈도우 이벤트 로그 검사하기	http://iprize.tistory.com/665	황제낙엽	2017.06.21	96
119	Robocopy 예제 [1]		황제낙엽	2017.05.30	193
118	윈도우 서버 보안 관리를 위해 많이 사용하는 프로그램 목록		황제낙엽	2017.05.24	53
117	중요 정보 침해 사고가 발생했을 때 사고 대응과 분석에 많이 사용되는 명령어		황제낙엽	2017.05.23	48
116	윈도우 서버 시스템에서 꼭 필요한 서비스가 아닌 프로그램		황제낙엽	2017.05.23	53

쓰기 태그

첫 페이지 1 2 3 4 5 6 7 8 9 10 끝 페이지

윈도우 Log Parser를 이용한 윈도우 이벤트 로그 검사하기

댓글 0

로그인