Log Parser

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

[그림 1] Log Parser Studio 실행화면

[그림 1] Log Parser Studio 실행화면

Log Parser는 Microsoft사에서 개발한 도구이며, 프리웨어이다. 최신 업데이트 일자는 2005년 4월 20일이며, 최신 버전은 2.2.10이다. 본 항에서는 최신버전인 2.2.10을 기반으로 보고서를 작성하였다. Log Parser는 CLI 기반이며, Windows 운영체제 환경에서 사용 가능하다. Log Parser는 로그, XML, CSV파일과 같이 텍스트로 구성된 데이터뿐만 아니라 이벤트 로그, 레지스트리, 파일시스템, 액티브 디렉터리를 분석할 수 있다. 또한 다양한 기능을 제공하고 있으며, 쿼리를 사용할 수 있어 사용자가 원하는 결과 값을 검색 및 필터링 할 수 있다. 사용자가 Log Parser에 필요한 정보를 제공하고 처리 방법을 알려주면, 처리 결과를 원하는 형태의 텍스트나 SQL, SYSLOG, 또는 차트 등으로 제공해 준다. Log Parser는 CLI 기반이기 때문에 SQL 언어를 모르면 사용하기가 매우 어렵다. 따라서 LogParser를 사용하기 쉽도록 GUI 기반의 툴인 Log Parser Studio를 제공한다. 이 도구는 IIS관련 이벤트 및 로그, EXADB 및 기타 여러 형태의 로그를 분석하고 리포트를 생성할 수 있는 유틸리티이다. 이는 Log Parser 2.2와 함께 구동되며 SQL 쿼리를 쉽게 생성하고 관리할 수 있는 사용자 인터페이스를 제공한다. Log Parser의 실행화면은 [그림 1]과 같다.

사용법

Log Parser에서 사용할 기본적인 SQL 쿼리문이 Log Parser Studio라이브러리에 포함되어 있다. 라이브러리에서 원하는 쿼리문을 더블클릭 하게 되면 자동으로 쿼리문이 입력되며 Q#이라는 탭이 생성된다. 상단에 !.png 모양의 아이콘을 선택하면 쿼리문이 실행된다. 쿼리문 실행 후 상단의 버튼을 이용하여 제공된 기능을 사용할 수 있다. 버튼들의 기능은 [표 1]과 같다.

[표 1] Log Parser CLI 옵션
아이콘 내용
화살표아래아이콘.png 현재 쿼리문을 저장
화살표오른아이콘.png CSV로 저장
폴더아이콘.png 대상 로그파일 또는 폴더 선택
배치문아이콘.png 작성된 배치문을 제어
차트아이콘.png 현재의 결과를 차트로 출력
파워쉘스크립트아이콘.png 작성된 쿼리문을 파워쉘스크립트로 작성

Log Parser의 CLI 사용법은 [표 2]에 옵션에 대한 설명은 [표 3]에서 확인할 수 있다.

[표 2] Log Parser 사용법

LogParser [-i:<input_format>] [-o:<output_format>] <SQL query> | file:<query_filename>[?param1=value1+...][<input_format_options>] [<output_format_options>][-q[:ON|OFF]][-e:<max_errors>] [-iw[:ON|OFF]] [-stats[:ON|OFF]] [-saveDefaults] [-queryInfo]

[표 3] Log Parser CLI 옵션
옵션 내용
-i input format 설정

- 지원 format : IISW3C, NCSA, IIS, IISODBC, BIN, IISMSID, HTTPERR, URLSCAN, CSV, TSV, W3C, XML, EVT, ETW, NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS, COM

-o output format 설정

- 지원 format : CSV, TSV, XML, DATAGRID, CHART, SYSLOG, NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL

-q quit mode 선택 여부(기본 값 : off)
-e 무시 없이 파싱할 최대 error 개수(기본 값 : off)
-i 경고 무시 여부(기본 값 : off)
-stats 실행 후 통계 출력 여부(기본 값 : off)
-c built-in conversion query 사용
-multiSite BIN conversion output을 SiteID를 통해 파일들에게 전송

(기본 값 : off)

-saveDefault 옵션 저장
-restoreDefaults 기본 상태로 복구
-queryInfo 쿼리 진행 정보를 출력

도구 기능

라이브러리에 기본적으로 사용자들이 자주 사용하는 쿼리문이 제공된다. 지원되는 포맷과 출력 포맷에 적합한 쿼리문이 제공되고, 버전 2.2.10에서는 총 181개의 쿼리문이 제공된다. 쿼리 결과를 도표로 보여주는 기능과 CSV, powershell, XML 등의 형태로 결과를 저장하는 기능이 있다. CSV 출력의 경우 인코딩이 UTF-8로 되어있어 한글이 깨져서 출력된다. 따라서 인코딩을 ANSI로 바꾸어 실행해야 한다.

제한사항

CLI에서 문제가 되었던 쿼리문을 라이브러리 형태로 작성하여 GUI로 사용할 수 있다는 것에 큰 장점이 있으나, 모든 명령을 포함하지는 않으므로 필요한 명령어는 자신이 직접 작성해야한다. 따라서 원활한 도구 사용을 위해서는 사용자의 도구 숙지 능력이 필요하다.

수사 활용 방안

Log Parser는 Windows에 존재하는 로그를 모두 제어하는 기능을 제공하므로 원하는 로그를 하나의 프로그램으로 확인할 수 있다. 또한 기능을 프로그램에서 제한한 것이 아니라, 사용자가 원하는 결과 값을 쿼리문으로 작성할 수 있기 때문에 쿼리문이 능숙하다면 얼마든지 원하는 결과를 확인할 수 있다.