로그 분석 도구
로그파일은 파일 시스템이나 특정 어플리케이션의 이벤트가 기록된 파일이다. 예를 들어 NTFS의 경우 파일 및 디렉터리 생성, 삭제, 이름 변경, MFT 수정 작업을 알 수 있고 MFT에서 발견하지 못한 삭제된 파일 흔적을 추적할 수 있는 장점이 있다. 또한 문서 파일 열람 흔적 및 PE 파일 실행 및 생성, 삭제 흔적 추적에 활용할 수 있다. 로그 분석 도구는 이러한 로그파일들을 분석해주는 도구이다.
- Event Log Explorer
- Log Parser
- LogFile Parser
- NTFS Log Tracker
- UsnJrnl2Csv
- Windows Journal Parser (jp)
- Windows Eventlog Parser (evtwalk)
- Windows Event Log Viewer (evtx_view)
로그 분석 도구 기능 분석[편집]
로그 분석 도구는 현장에서 Windows 시스템의 로그를 수집하고 수집된 자료를 분석하여 보고서를 생성하는 도구이다. 현재 개발되어 사용 중이거나 오픈소스, 프리웨어인 여러 로그 분석 도구는 기본적으로 시스템 의 $logfile, %usnjrnl:$j, event log의 파싱과 보고서 추출 등의 기능을 공통적으로 포함하고 있으며, 각 제품별로 기능에 약간의 차이를 두고 특성화되어 있다고 할 수 있다.
도구 기능 분석 전략[편집]
선별된 로그 분석 도구의 정확한 비교ㆍ분석을 위해 기본적인 기능과 분석하는 로그 종류, 이미지 분석 가능 여부, 라이브 시스템 분석 가능 여부, 로그 파일 수집 가능 여부 등 유용하게 활용 가능한 데이터 수집 및 분석 기능을 가지고 있는지 테스트 데이터 세트를 구축하여 확인할 예정이다. 테스트 데이터 세트에 포함될 로그 분석 도구의 세부 기능은 [표 1]와 같다.
| 구분 | 기능 |
|---|---|
| 로그 분석 도구 평가 항목 | |
| $logfile 파일 분석 | |
| %usnjrnl:$j 파일 분석 | |
| event log 분석 | |
| 필터링 기능 | |
| 한글지원 | |
| 분석된 엔트리 개수 | |
| 분석 시간 |
도구 기능 분석을 위해 [표 2]와 같은 환경의 테스트 데이터 세트를 구축하여 비교 분석하였다.
| 운영체제 | $logfile 엔트리 | $usnjrnl 엔트리 | 이벤트로그 |
|---|---|---|---|
| Windows XP 32bit | 20914개 | 998개 | 275개 |
| Windows 7 32bit | 9350개 | 2319개 | 1315개 |
| Windows 7 64bit | 12247개 | 2501개 | 610개 |
테스트 결과[편집]
구축된 테스트 데이터 세트 환경에서 분석도구를 테스트 및 비교한 결과는 [표 3]와 같다.
| Event Log Explorer | Log Parser | LogFile Parser | NTFS Log Tracker | UsnJrnl2Csv | jp | evtwalk | evtx_view | ||
|---|---|---|---|---|---|---|---|---|---|
| 공통 | $logfile | X | X | O | O | X | X | X | X |
| $usnjrnl | X | X | X | X | O | O | X | X | |
| event log | O | X | X | X | X | X | O | O | |
| 필터링 | O | X | X | O | X | X | O | O | |
| 한글지원 | O | X | X | O | O | X | X | X | |
| XP | |||||||||
| 개수 | 275 | X | 439307 | 20914 | 2745 | 998 | 275 | 275 | |
| 시간 | 즉시 | X | 50분 | 32초 | 멈춤 | 즉시 | 즉시 | 즉시 | |
| Win7 32bit | |||||||||
| 개수 | 1315 | X | 439370 | 9350 | 4824 | 2319 | 1315 | 1315 | |
| 시간 | 즉시 | X | 1시간 | 14초 | 멈춤 | 즉시 | 즉시 | 즉시 | |
| Win7 64bit | 개수 | 610 | X | 433298 | 12247 | 4125 | 2501 | 610 | 610 |
| 시간 | 즉시 | X | 23분 | 22초 | 멈춤 | 즉시 | 즉시 | 즉시 | |
비교 결과 이벤트 로그 파일은 Event Log Explorer가 가장 직관적이며 효율적으로 분석하였다. 다른 이벤트 로그 분석 도구는 한글지원이 되지 않고 Event Log Explorer 만큼 이벤트로그의 정보를 보여주지 않는다. $logfile 파일은 NTFS Log Tracker가 가장 빠르며 사용자 관점에서 파일의 정보를 보여준다. 비록 LogFile Parser의 분석한 엔트리개수가 많아 보이나 그 내용이 중복되고 해석하기 어렵다. 그리고 한글지원이 되지 않고 분석시간이 매우 길다. $usnjrnl 파일은 jp가 가장 빠르며 사용자가 보기 쉽게 분석한다. 비록 UsnJrnl2Csv의 분석한 엔트리개수가 많아 보이나 그 내용이 중복되고 해석하기 어렵다. 그리고 한글지원이 되지 않고 분석시간이 매우 길다. 이 밖에 Log Parser는 분석하는 로그가 IIS 사용 로그이기 때문에 테스트에서 제외했다.
