침해사고를 분석하다 보면 사용자나 공격자 활동을 분석하기 위해 security.evtx 는 항상 분석하게 된다.
그런데 문제는 security.evtx 에 너무 많은 정보들이 기록되다 보니 overwrite 이슈가 너무 자주 발생한다는 것이다. 이러한 overwrite 이슈을 방지하기 위해 어떤 방법을 취할수 있을지 알아보자.
1. eventvwr.msc 에서 직접 변경
다음 순서를 따라해보자
eventvwr.msc 를 실행 후 관심있는 이벤트에 오른쪽 클릭 - 속성
최대 로그 크기를 변경해주고, 로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션도 체크해주자.
로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션은 백업 파일을 생성해주는 기능이다.
최대 로그 크기는 레지스트리 값에 DWORD32 형 데이터로 생성된것을 보았을 때 4GB일 것으로 예상이 되나.. 파일이 너무 크면 이동하거나 분석할때 애로사항이 꽃피므로 적당한 크기로 변경해주면 되겠다.
그리고 저장되는 경로도 바꿔줄 수 있지 않을까?(아마도)
2. wevtutil 에서 변경
파워쉘에서 wevtutil을 사용할 수 있다. 여기서 우리가 관심있는 것은 sl 옵션이다.
다음 명령으로 이벤트로그 저장 크기를 변경할 수 있다.
wevtutil sl System /ms:12345다만, wevtutil에서 자동 백업파일 생성을 할 수 없다.
3. 그룹 정책 편집기(gpo) 에서 변경
로컬 컴퓨터 정책 - 컴퓨터 구성 - 관리 템플릿 - Windows 구성 요소 - 이벤트 로그 서비스 하위 항목에서 변경할 수 있다.
4. 레지스트리 직접 변경
이벤트로그 관련 레지스트리 설정은 다음 경로에 존재한다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\<로그이름>\
security 이벤트에 대해 한번 살펴보자. 경로는 다음과 같다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security
AutoBackupLogFiles : 자동백업 1이면 설정, 0이면 설정되지 않음
MaxSzie : 이벤트 로그 파일 크기
File : 저장되는 경로
'콤푸타 > 해킹&보안' 카테고리의 다른 글
| [cloud] AWS 강의 VPC, Subnet, Routing Table, Gateway (0) | 2025.04.14 |
|---|---|
| [windows] UAC Bypass (0) | 2025.04.12 |
| 윈도우 네트워크 수준 인증(Network Level Authentication) (0) | 2025.04.01 |
| [windows] 윈도우 이벤트 분석 (2) - RDP(원격 연결) & 로그온 기록 분석 (0) | 2025.01.18 |
| [악성코드 분석] 계엄사-합수본부 운영 참고자료 (0) | 2025.01.16 |