소개[편집]

[그림 1]Event Log Explorer 실행화면

Event Log Explorer은 FSPro Labs에서 개발한 로그 분석 도구로 상업용으로 사용 시 유료이며, 개인이 사용할 시 무료이다. 최신 업데이트 일자는 2013년 10월 9일이며, 최신 버전은 4.2이다. 본 항에서는 최신버전인 4.2를 기반으로 보고서를 작성하였다. Event Log Explorer은 GUI기반이며, Windows 운영체제에서 사용 가능하다. Event Log Explorer은 로컬 PC뿐만 아니라 네트워크상의 다른 PC의 이벤트까지 확인할 수 있다. Event Log Explorer은 Event를 필터링 할 수 있고, 설정한 시간에 자동으로 Log를 보여주는 기능을 가지고 있다. 또한 북마크가 가능하며, 이벤트를 지정하여 해당 이벤트 발생 시 실행할 프로그램을 지정할 수 있다. Event Log Explorer의 실행화면은 [그림1] 과 같다.

사용법[편집]

Event Log Explorer은 GUI환경으로 동작하며 좌측의 컴퓨터모양의 아이콘을 더블클릭하면 로그를 분석할 수 있다. Windows의 eventlog를 분석하는데 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog에 등록되어 있는 프로그램의 로그를 분석하여 결과로 출력한다. 실제 로그파일의 경로는 %SystemRoot%\System32\Config\*.evt와 같다. 원격으로 조사할 경우 tree탭의 add Computer를 이용해 네트워크에 접속한 컴퓨터를 연결하여 같은 방법으로 조사할 수 있다.

도구 기능[편집]

필터기능을 이용할 경우 이벤트 로그에서 필터링 된 결과만 확인할 수 있다. 필터링 정보는 저장할 수 있고 불러올 수 있다. 필터링 기능 중 Event Type을 설정할 경우 원하는 Event만 확인할 수 있다. 총 6가지(Information, Warning, Error, Critical, Audit Success, Audit Failure)의 이벤트가 존재한다. 전체 칼럼에서 원하는 결과만 선택하여 필터링할 수 있다. 총 4가지의 칼럼(Source, Category, User, Computer)을 설정할 수 있다. 이 밖에도 필터링 기능에는 Description검색과 시간 범위를 설정해 필터링할 수 있다. 검색기능은 필터링 기능과 거의 유사하지만 사용 시 현재 커서에서 가장 근접한 목록 하나만 검색한다. Clear로그 기능을 선택하면 모든 Event Log기록을 삭제할 수 있다. Report 기능을 이용해 사용자가 선택한 내용만 선택하여 CSV, HTML, WORD파일포맷으로 보고서를 작성할 수 있다. Credential manager기능을 이용하면 원격 컴퓨터에 연결할 때 사용하는 계정과 암호를 저장할 수 있다. 또한 Scheduler기능을 이용해 이벤트를 관리할 수 있으며, Linked Event Filter기능을 이용해 event description과 event id를 입력하여 관련된 이벤트를 조사할 수 있다. 마지막으로 Event Alerts 기능을 이용해 원하는 이벤트가 발생할 시 원하는 동작을 하도록 설정할 수 있다.

제한사항[편집]

검색 시 가장 가까운 목록만 검색하여 전체적으로 확인하기 어렵다.

수사 활용 방안[편집]

수사 현장에서 Event Log파일의 정보를 수집 하여 분석할 경우 Event Log Explorer는 Event Log의 정보를 빠르고 쉽게 확인할 수 있다는 장점을 가지고 있다. 또한 네트워크를 사용하여 다른 컴퓨터의 Event Log도 분석할 수 있다는 장점 또한 존재한다.