[이벤트로그분석] Log Parser 도구 활용

<Log Parser>

Log Parser는 마이크로소프트에서 제공하는 무료 도구로서 이벤트 로그 분석 시, 많은 양의 로그에서 원하는 정보만 추출하거나 통계를 낼 때 사용가능한 도구이다. 기본적으로 SQL문 기반으로 사용되며, 현재 배포된 최신버전은 2.2 버전이다.

 

http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659

 

다만, 위 파일은 설치하여야 사용이 가능하기 때문에, 하나의 PC에서 수집된 이벤트 로그를 분석할 때만 유용하다. 즉, 이동성이 없다. 따라서, 아래에는 "포터블버전"으로 생성한 Log Parser 파일을 첨부한다. ( USB에 담아서 사용하면 꽤 괜찮다. 다만 32bit버전에서 생성된 포터블버전임을 잊지말자! )

 

Portable_LogParser_v2.2.zip

 

[ Log Parser 도구 활용 ]

□ 많은 양의 이벤트 로그를 찾고자 하는 로그의 Event ID나 프로세스 이름 등 적은 정보만을 이용하여 사용자가 원하는 로그를 추출할 수 있다.

□ 점검 시 추출해 내고자 하는 정보가 같은 경우, SQL Query문을 파일로 기록하여, 매번 Query문을 입력하는 번거로움 없이 빠르게 정보를 가져올 수 있다.

□ 통계 데이터 추출을 통해 이상징후를 알아 볼수 있다. ( 예를들어 ,로그인 접근시도의 통계를 내어 접근시도의 증가율 등을 확인하여 공격시도가 있었는지 등을 확인 )

 

[ 사용법 ]

 

>LogParser.exe –i:evt –o:출력형식 “SELECT Event_Log_Fields [INTO 출력파일명] FROM Security|Application|System WHERE 조건 [ORDER BY 필드명 ASC|DESC]”

 

'Event_Log_Fields'

(S: string type / I: Integer type / T: timestamp)

EventLog (S)	RecordNumber (I)	TimeGenerated (T)
TimeWritten (T)	EventID (I)	EventType (I)
EventTypeName (S)	EventCategory (I)	EventCategoryName (S)
SourceName (S)	Strings (S)	ComputerName (S)
SID (S)	Message (S)	Data (S)

 

'출력형식'

CSV / CHART / NEUROVIEW / NAT / W3C / TSV / DATAGRID

 

2부에.. 계속..