liminfoWindows Event Log Reference
Windows 이벤트 로그 레퍼런스
Windows Event Log Reference 소개
Windows 이벤트 로그 레퍼런스는 보안 모니터링, 사고 대응, 시스템 관리에 사용되는 핵심 Windows 이벤트 ID를 종합적으로 검색할 수 있는 가이드입니다. 보안 로그 이벤트(4624 로그온 성공, 4625 로그온 실패, 4648 명시적 자격증명, 4672 관리자 로그온, 4720 계정 생성), 시스템 로그 이벤트(6005/6006 부팅/종료, 6008 비정상 종료, 7045 서비스 설치, 7036 서비스 상태 변경), 애플리케이션 이벤트(1000 크래시, 1001 WER, 1002 응답없음, 1026 .NET 에러), 감사 이벤트(4663 파일 접근, 4688 프로세스 생성, 4689 프로세스 종료)를 다룹니다.
SOC 분석가, 사고 대응 담당자, 시스템 관리자, IT 보안 전문가를 위해 설계되었으며, PowerShell 쿼리 예제(Get-WinEvent, FilterHashtable, FilterXml), 명령줄 도구(wevtutil), XPath 쿼리 구문, 이벤트 뷰어 사용자 정의 보기, 로그온 추적/프로세스 실행 모니터링을 위한 포렌식 분석 패턴, Sysmon 연동을 포함합니다.
모든 처리는 브라우저에서 로컬로 이루어지며 서버로 데이터가 전송되지 않습니다. 다크 모드를 지원하고 데스크톱, 태블릿, 모바일에서 작동합니다.
주요 기능
- 보안 로그 이벤트 ID: 4624(로그온), 4625(로그온 실패), 4648(명시적 자격증명), 4672(관리자 권한), 4720(계정 생성)
- 시스템 로그 이벤트: 6005/6006(부팅/종료), 6008(비정상 종료), 7045(서비스 설치), 7036(서비스 상태 변경)
- 감사 이벤트: 4663(파일/폴더 접근), 4656(핸들 요청), 4670(권한 변경), 4688/4689(프로세스 생성/종료)
- Get-WinEvent, FilterHashtable, FilterXml, Export-Csv를 활용한 PowerShell 로그 분석 예제
- XPath 쿼리 구문, wevtutil 명령어, 이벤트 뷰어 사용자 정의 보기, 중앙 수집용 이벤트 구독
- 로그온 체인 추적, 프로세스 실행 트리 구성, 계정 관리 이상 탐지를 위한 포렌식 분석 패턴
- 프로세스 생성(해시 포함), 네트워크 연결, DLL 로드, 파일 생성을 다루는 Sysmon 연동 레퍼런스
- 보안 로그, 시스템 로그, 애플리케이션, 감사, 이벤트 ID, PowerShell, 필터, 분석의 8개 체계적 카테고리
자주 묻는 질문
Windows 이벤트 ID 4624는 무엇이며 로그온 유형은 어떤 것이 있나요?
이벤트 ID 4624는 Windows 보안 로그에 성공적인 로그온을 기록합니다. 로그온 유형 필드로 인증 방식을 구분합니다: Type 2는 대화형(로컬 콘솔 로그온), Type 3은 네트워크(파일 공유 접근), Type 5는 서비스(Windows 서비스 시작), Type 7은 잠금 해제, Type 10은 원격 대화형(RDP)입니다. 로그온 ID를 사용하여 4634/4647과 상관분석하면 전체 세션 수명 주기를 추적할 수 있습니다.
Windows 이벤트 로그로 무차별 대입 공격을 어떻게 탐지하나요?
이벤트 ID 4625(로그온 실패)에서 무차별 대입 공격 패턴을 모니터링합니다. 짧은 시간 내 같은 소스 IP에서 발생하는 다수의 4625 이벤트를 확인합니다. 실패 원인에는 0xC0000064(존재하지 않는 사용자), 0xC000006A(잘못된 비밀번호), 0xC0000234(계정 잠김)가 있습니다. 이벤트 ID 4740(계정 잠금)의 Caller Computer Name으로 잠금 발생 위치를 식별합니다.
PowerShell Get-WinEvent로 이벤트 로그를 어떻게 조회하나요?
Get-WinEvent는 Windows 이벤트 로그를 조회하는 최신 PowerShell cmdlet입니다. 효율적인 서버 사이드 필터링을 위해 -FilterHashtable을 사용합니다: Get-WinEvent -FilterHashtable @{LogName="Security"; ID=4624; StartTime=(Get-Date).AddDays(-7)}. 복잡한 쿼리에는 XPath를 사용하는 -FilterXml을 사용합니다. Export-Csv로 결과를 내보낼 수 있습니다. FilterHashtable은 Where-Object 필터링보다 훨씬 빠릅니다.
악성 서비스 설치를 나타내는 이벤트는 무엇인가요?
이벤트 ID 7045(Source: Service Control Manager)는 서비스 이름, 실행 파일 경로, 시작 유형을 포함한 새 서비스 설치를 기록합니다. 서비스로 설치되는 악성코드를 탐지하는 데 핵심적입니다. 보안 로그의 이벤트 ID 4697은 서비스 계정 등 추가 세부 정보를 제공합니다. 서비스 파일 경로를 알려진 정상 기준선과 비교하세요. Sysmon 이벤트 ID 1에서 ParentImage가 services.exe인 경우도 서비스 실행 프로세스 식별에 도움됩니다.
프로세스 생성과 명령줄 인자를 어떻게 추적하나요?
이벤트 ID 4688은 프로세스 이름과 생성자(부모) 프로세스를 포함한 새 프로세스 생성을 기록합니다. 그룹 정책(관리 템플릿 > 시스템 > 감사 프로세스 생성)에서 명령줄 프로세스 감사를 활성화하면 전체 명령줄 인자를 캡처할 수 있습니다. 이벤트 ID 4689는 프로세스 종료를 기록합니다. 함께 사용하면 부모-자식 프로세스 트리를 재구성할 수 있습니다. Sysmon 이벤트 ID 1은 파일 해시를 포함하여 더 풍부한 데이터를 제공합니다.
Sysmon이란 무엇이며 Windows 이벤트 로깅을 어떻게 강화하나요?
Sysmon(System Monitor)은 보안 관련 상세 이벤트로 Windows 이벤트 로깅을 확장하는 Microsoft Sysinternals 도구입니다. 주요 이벤트 ID: 1(파일 해시 포함 프로세스 생성), 3(소스/대상 포함 네트워크 연결), 7(이미지/DLL 로드), 11(파일 생성), 8(인젝션 탐지용 CreateRemoteThread), 13(레지스트리 수정). Microsoft-Windows-Sysmon/Operational 로그에 기록되며 XML 정책으로 로깅 대상을 제어할 수 있습니다.
로그 삭제를 통한 증거 인멸을 어떻게 탐지하나요?
이벤트 ID 1102(Source: Microsoft-Windows-Eventlog)는 보안 로그가 삭제될 때 보안 로그에 기록되며, 삭제를 수행한 계정 정보를 포함합니다. 이 이벤트 자체는 로그 삭제 후에도 남습니다. 이벤트 ID 104도 다른 로그 삭제를 모니터링합니다. 이벤트 시퀀스 번호의 갑작스러운 단절도 변조를 나타냅니다. Windows Event Forwarding(WEF)으로 중요 이벤트를 중앙 SIEM에 전달하여 변경 불가능한 사본을 유지하세요.
이벤트 로그 중앙 수집은 어떻게 설정하나요?
Windows Event Forwarding(WEF)과 Windows Event Collector 서비스를 사용합니다. 수집 대상 이벤트와 소스 컴퓨터를 정의하는 구독 XML 파일을 생성하고 "wecutil cs subscription.xml"로 적용합니다. 그룹 정책으로 소스 컴퓨터가 수집기로 이벤트를 전달하도록 설정합니다. "wevtutil sl Security /ms:1073741824"로 1GB 로그 보존을 설정합니다. 엔터프라이즈 환경에서는 SIEM 플랫폼으로 전달하여 상관분석, 알림, 장기 보존을 수행합니다.