로그 분석 도구

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

로그파일은 파일 시스템이나 특정 어플리케이션의 이벤트가 기록된 파일이다. 예를 들어 NTFS의 경우 파일 및 디렉터리 생성, 삭제, 이름 변경, MFT 수정 작업을 알 수 있고 MFT에서 발견하지 못한 삭제된 파일 흔적을 추적할 수 있는 장점이 있다. 또한 문서 파일 열람 흔적 및 PE 파일 실행 및 생성, 삭제 흔적 추적에 활용할 수 있다. 로그 분석 도구는 이러한 로그파일들을 분석해주는 도구이다.

로그 분석 도구 기능 분석

로그 분석 도구는 현장에서 Windows 시스템의 로그를 수집하고 수집된 자료를 분석하여 보고서를 생성하는 도구이다. 현재 개발되어 사용 중이거나 오픈소스, 프리웨어인 여러 로그 분석 도구는 기본적으로 시스템 의 $logfile, %usnjrnl:$j, event log의 파싱과 보고서 추출 등의 기능을 공통적으로 포함하고 있으며, 각 제품별로 기능에 약간의 차이를 두고 특성화되어 있다고 할 수 있다.

도구 기능 분석 전략

선별된 로그 분석 도구의 정확한 비교ㆍ분석을 위해 기본적인 기능과 분석하는 로그 종류, 이미지 분석 가능 여부, 라이브 시스템 분석 가능 여부, 로그 파일 수집 가능 여부 등 유용하게 활용 가능한 데이터 수집 및 분석 기능을 가지고 있는지 테스트 데이터 세트를 구축하여 확인할 예정이다. 테스트 데이터 세트에 포함될 로그 분석 도구의 세부 기능은 [표 1]와 같다.

[표 1] 로그 분석 도구 테스트 데이터 세트 포함 기능
구분 기능
로그 분석 도구 평가 항목
$logfile 파일 분석
%usnjrnl:$j 파일 분석
event log 분석
필터링 기능
한글지원
분석된 엔트리 개수
분석 시간

도구 기능 분석을 위해 [표 2]와 같은 환경의 테스트 데이터 세트를 구축하여 비교 분석하였다.

[표 2] 로그 분석 도구 테스트 데이터 세트 구축 결과
운영체제 $logfile 엔트리 $usnjrnl 엔트리 이벤트로그
Windows XP 32bit 20914개 998개 275개
Windows 7 32bit 9350개 2319개 1315개
Windows 7 64bit 12247개 2501개 610개

테스트 결과

구축된 테스트 데이터 세트 환경에서 분석도구를 테스트 및 비교한 결과는 [표 3]와 같다.

[표 3] 로그 분석 도구 테스트 데이터 세트 구축 결과
Event Log Explorer Log Parser LogFile Parser NTFS Log Tracker UsnJrnl2Csv jp evtwalk evtx_view
공통 $logfile X X O O X X X X
$usnjrnl X X X X O O X X
event log O X X X X X O O
필터링 O X X O X X O O
한글지원 O X X O O X X X
XP
개수 275 X 439307 20914 2745 998 275 275
시간 즉시 X 50분 32초 멈춤 즉시 즉시 즉시
Win7 32bit
개수 1315 X 439370 9350 4824 2319 1315 1315
시간 즉시 X 1시간 14초 멈춤 즉시 즉시 즉시
Win7 64bit 개수 610 X 433298 12247 4125 2501 610 610
시간 즉시 X 23분 22초 멈춤 즉시 즉시 즉시

비교 결과 이벤트 로그 파일은 Event Log Explorer가 가장 직관적이며 효율적으로 분석하였다. 다른 이벤트 로그 분석 도구는 한글지원이 되지 않고 Event Log Explorer 만큼 이벤트로그의 정보를 보여주지 않는다. $logfile 파일은 NTFS Log Tracker가 가장 빠르며 사용자 관점에서 파일의 정보를 보여준다. 비록 LogFile Parser의 분석한 엔트리개수가 많아 보이나 그 내용이 중복되고 해석하기 어렵다. 그리고 한글지원이 되지 않고 분석시간이 매우 길다. $usnjrnl 파일은 jp가 가장 빠르며 사용자가 보기 쉽게 분석한다. 비록 UsnJrnl2Csv의 분석한 엔트리개수가 많아 보이나 그 내용이 중복되고 해석하기 어렵다. 그리고 한글지원이 되지 않고 분석시간이 매우 길다. 이 밖에 Log Parser는 분석하는 로그가 IIS 사용 로그이기 때문에 테스트에서 제외했다.