[이벤트로그분석] Log Parser 도구 활용
<Log Parser>
Log Parser는 마이크로소프트에서 제공하는 무료 도구로서 이벤트 로그 분석 시, 많은 양의 로그에서 원하는 정보만 추출하거나 통계를 낼 때 사용가능한 도구이다. 기본적으로 SQL문 기반으로 사용되며, 현재 배포된 최신버전은 2.2 버전이다.
http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=24659
다만, 위 파일은 설치하여야 사용이 가능하기 때문에, 하나의 PC에서 수집된 이벤트 로그를 분석할 때만 유용하다. 즉, 이동성이 없다. 따라서, 아래에는 "포터블버전"으로 생성한 Log Parser 파일을 첨부한다. ( USB에 담아서 사용하면 꽤 괜찮다. 다만 32bit버전에서 생성된 포터블버전임을 잊지말자! )
Portable_LogParser_v2.2.zip
[ Log Parser 도구 활용 ]
□ 많은 양의 이벤트 로그를 찾고자 하는 로그의 Event ID나 프로세스 이름 등 적은 정보만을 이용하여 사용자가 원하는 로그를 추출할 수 있다.
□ 점검 시 추출해 내고자 하는 정보가 같은 경우, SQL Query문을 파일로 기록하여, 매번 Query문을 입력하는 번거로움 없이 빠르게 정보를 가져올 수 있다.
□ 통계 데이터 추출을 통해 이상징후를 알아 볼수 있다. ( 예를들어 ,로그인 접근시도의 통계를 내어 접근시도의 증가율 등을 확인하여 공격시도가 있었는지 등을 확인 )
[ 사용법 ]
| >LogParser.exe –i:evt –o:출력형식
“SELECT Event_Log_Fields [INTO 출력파일명] FROM Security|Application|System WHERE 조건 [ORDER BY 필드명 ASC|DESC]” |
'Event_Log_Fields'
(S: string type / I: Integer type / T: timestamp)
|
EventLog (S) |
RecordNumber (I) |
TimeGenerated (T) |
|
TimeWritten (T) |
EventID (I) |
EventType (I) |
|
EventTypeName (S) |
EventCategory (I) |
EventCategoryName (S) |
|
SourceName (S) |
Strings (S) |
ComputerName (S) |
|
SID (S) |
Message (S) |
Data (S) |
'출력형식'
CSV / CHART / NEUROVIEW / NAT / W3C / TSV / DATAGRID
2부에.. 계속..