1) 윈도우 이벤트 로그란?

Windows 시스템에서는 시스템의 로그가 이벤트 로그 형식으로 관리되며, 이벤트 로그를 확인하기 위해서는 Windows의 이벤트 뷰어(Event Viewer)를 이용하여야 합니다.

이벤트 뷰어(Event Viewer)는 마이크로소프트 윈도우 NT 계열의 운영 체제의 구성 요소이며, 관리자와 사용자가 로컬 컴퓨터나 원격 컴퓨터의 이벤트 로그를 볼 수 있게 합니다.

[이벤트 뷰어(Event Viewer) 실행 방법]
Windows 로고키 + R키를 누르고 실행 창에 “이벤트뷰어” 또는”eventvwr”를 입력한 후, 확인 버튼을 클릭합니다.

Event Viewer를 실행시키면 아래의 참고 이미지와 같은 화면을 확인할 수 있습니다.

Windows 시스템은 응용 프로그램 로그, 보안 로그, 시스템 로그와 같이 세 가지 로그를 이벤트에 기록하며, OS 구성에 따라 디렉터리 서비스 로그, 파일 복제 서비스 로그, DNS 서버 로그가 추가될 수가 있습니다.
주요 이벤트 별 특징은 다음과 같습니다.

이벤트 로그 설명
응용 프로그램 로그 응용 프로그램이 기록한 다양한 이벤트가 저장되며,  기록되는 이벤트는 해당 제품의 개발자에 의해 결정됩니다.
보안 로그 유효하거나 유효하지 않은 로그온 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트를 기록합니다.
감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능합니다.
시스템 로그 Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시, 드라이버가 로드되지 않는 경우와 같이
구성요소의 오류를 이벤트에 기록합니다.

 

1-1) 최대 이벤트 로그 크기

이벤트 로그 서비스의 경우 메모리 매핑된 파일을 사용하면 최대 이벤트 로그 크기 설정에 지정되어 있는 메모리 양에 관계없이 컴퓨터에 메모리 매핑된 파일이 사용할 수 있는 메모리가 더 이상 없으면 로그 이벤트가 로그에 더 이상 기록되지 않습니다. 이러한 경우 오류 메시지는 표시되지 않으며 이벤트가 이벤트 로그에 표시되지 않거나 이전에 기록된 다른 이벤트를 덮어씁니다. 또한 메모리 내에서 로그 파일이 조각화되어 사용 중인 컴퓨터에 심각한 성능 문제가 발생합니다.

최대 이벤트 로그 크기에 사용할 수 있는 값은 다음과 같습니다.

사용자가 정의한 64에서 4,194,240 사이의 값(KB)으로 64의 배수

 

1-2) 이벤트 로그 최대 저장 사이즈가 넘어가면 어떻게 될까요?

이벤트 로그의 용량이 다 차면 컴퓨터에서 최신 항목이 가장 오래된 항목을 덮어쓰도록 각 로그의 보관 방법을 설정한 경우가 아니면 로그에 더 이상 정보가 기록되지 않습니다. 최신 데이터가 손실되지 않도록 하려면 오래된 이벤트를 필요에 따라 덮어쓰도록 보관 방법을 구성하면 됩니다. 이렇게 구성하면 오래된 이벤트가 로그에서 제거됩니다.
그러나 이렇게 구성하는 경우 공격자가 이를 악용하여 불필요한 이벤트를 많이 생성하여 공격의 증거를 덮어쓸 수 있습니다.

 

1-3) 덮어쓴 로그 복구는 대단히 어렵다.

과연 덮어쓴 데이터는 정말 복구가 가능할까요?

덮어쓴 데이터의 복구 가능성에 대한 논란은 1996년에 USENIX Security Symposium에서 발표된 피터구트만(Peter Gutmann)의 논문에서 시작되었습니다. 그의 논문이 발표된 이후 최근까지 덮어쓴 데이터의 복구 가능성에 대해 많은 논란이 되고 있습니다.

복구는 가능하지만, 정상적으로 사용할 수 있는 의미 있는 데이터는 거의 없습니다.

피터구트만(Peter Gutmann)의 논문에서는 그 이유를 아래와 같이 설명합니다.
– 액추에이터의 정밀도와 헤드의 정확도 문제
– 플래터의 회전에 따른 진동과 공기 흐름의 문제
– 플래터의 회전에 따른 내부 열 발생의 문제
– 많은 컴포넌트에서 발생되는 오류의 문제
– 과거에 기록된 데이터들의 문제
– 디스크의 노후화 및 부식 상태

개별 bit에 대한 복구 가능성은 높을 수 있지만, 의미 있는 사용 가능한 데이터를 살려낼 가능성은 희박하다고 볼 수 있습니다.

이벤트 로그 데이터 보관 및 백업을 통해 이러한 어려움을 사전에 방지하고 예방할 수 있습니다.

 

2) 이벤트 로그 위치

각각의 이벤트 로그 위치는 아래의 경로에서 확인할 수 있습니다.

2-1) 서비스 로그
C:\Windows\System32\winevt\Logs
Security, Setup, Application, DNS Server, Hardware Event, PowerShell, System…

2-2) 윈도우 업데이트 패치 파일
C:\Windows\winsxs

 

3) 이벤트 로그 위치 변경

이벤트 항목별로 경로를 각각 설정을 해야 합니다.

  1. Windows 로고키 + R키를 누르고 실행 창에 regedit 입력한 후 확인 버튼을 클릭합니다.
  2. 레지스트리 편집기가 실행되면 아래의 경로로 이동합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
  3. EventLog를 더블 클릭하여 나타나는 하위 항목 중 원하는 항목을 클릭한 후 아래 화면에서 File을 더블 클릭하고 값 데이터에 변경할 경로를 입력합니다.
    (예를 들어, Application의 이벤트 로그를 변경하려면 Application을 클릭한 후 아래 화면에서 File을 더블 클릭하고 값 데이터에 변경할 경로를 입력합니다.)
  4. PC 재 시작 후 변경된 경로로 이벤트 로그가 쌓이는지 확인합니다.

 

▣ 참고자료

– 위키백과_이벤트뷰어
https://ko.wikipedia.org/wiki/%EC%9D%B4%EB%B2%A4%ED%8A%B8_%EB%B7%B0%EC%96%B4

– 마이크로소프트 공식 설명서_이벤트 로그
https://docs.microsoft.com/ko-kr/security-updates/security/20214103

– 피터구트만(Peter Gutmann) 논문_Overwriting Hard Drive Data
Peter Gutmann: Overwriting Hard Drive Data: The Great Wiping Controversy