[윈도우 로그분석]2. CheckList를 활용한 로그점검&분석

보안업무와 관련된 로그를 점검&분석할 때 가장 많이 혼란스러워 하는 이유는 어떤 로그를 점검&분석해야 하는지를 목록화하는 것이다. 이는 상당한 경험이 있는 사람일지라도 마찬가지가 아닐까 생각한다.

아래의 보안 점검 체크리스트가 이와같은 혼란을 감소시킬 수 있을지는 모르지만, 참고하여 로그 점검&분석을 일상화하는데에는 좋은 자료가 될 수 있을 것이라는 생각이든다.

 

security-incident-log-review-checklist.docx

 

위 문서는 아래와 같은 구성으로 되어있다. ( 분석 대상에 맞는 타입의 체크리스트를 활용할 것 )

□ General Approach

□ Potential Security Log Sources

□ Typical Log Locations

□ What to Look for on Linux

□ What to Look for on Windows

□ What to Look for on Network Devices

□ What to Look for on Web Servers

□ Other Resources

 

또한, 위 체크리스트와 함께 윈도우 관련된 로그 점검&분석 때 항상 검색하게되는 이벤트ID가 잘 정리된 사이트 정보를 이 글에 함께 기록한다.

 

http://eventopedia.cloudapp.net/Events/?/Operating+System/Microsoft+Windows/Built-in+logs/Windows+2000-2003/Security+Log