evtx-file
EVTX(Windows XML Event Log) 형식의 윈도우 이벤트 로그 파일을 파싱하여 레코드를 조회합니다. 이벤트 로그에 포함된 시스템 정보, 이벤트 데이터, 메시지 등을 구조화된 필드로 변환하여 출력합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zippath=STR- EVTX 파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 EVTX 파일을 직접 조회할 때 사용합니다.
zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8)
대상
FILE_PATH- 조회할 EVTX 파일의 경로. 와일드카드(
*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_file | 문자열 | EVTX 파일 이름 |
_time | 날짜 | 이벤트 생성 시각 |
computer | 문자열 | 이벤트를 생성한 컴퓨터 이름 |
channel | 문자열 | 이벤트 채널 이름 (예: System, Security, Application) |
provider | 문자열 | 이벤트 공급자 이름 |
event_id | 64비트 정수 | 이벤트 식별자 |
task | 64비트 정수 | 이벤트 작업 범주 |
level | 64비트 정수 | 이벤트 심각도. 0: 로그 항상(LogAlways), 1: 위험(Critical), 2: 오류(Error), 3: 경고(Warning), 4: 정보(Information), 5: 상세(Verbose) |
record_id | 64비트 정수 | 이벤트 레코드 식별자 |
msg | 문자열 | 이벤트 메시지. 이벤트 공급자와 이벤트 식별자를 기반으로 메시지 템플릿을 적용한 결과 |
event_data | 맵 | 이벤트 데이터. 이벤트에 포함된 세부 데이터를 키-값 쌍으로 포함합니다. |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot load evtx file | EVTX 파일을 읽을 수 없는 경우 | 쿼리 실행을 중단함 |
설명
evtx-file 명령어는 지정한 EVTX 파일을 바이너리 XML 형식으로 파싱하여 각 이벤트 레코드를 구조화된 필드로 변환합니다. 이벤트 로그의 System 영역에서 공급자, 이벤트 ID, 채널, 컴퓨터 이름 등 메타데이터를 추출하고, EventData 또는 UserData 영역에서 이벤트 세부 데이터를 추출합니다.
이벤트 메시지 템플릿은 내장된 메시지 맵과 evtx-message 룩업 테이블에서 공급자:이벤트ID 형식의 키로 조회합니다. 룩업 테이블에 등록된 메시지가 내장 메시지보다 우선합니다. 메시지 템플릿이 존재하면 이벤트 데이터 값을 대입하여 msg 필드에 할당합니다. 메시지 템플릿이 없고 이벤트 데이터가 단일 값이면 해당 값을 msg 필드에 할당합니다.
event_data 필드의 키 이름은 카멜 케이스(CamelCase)에서 스네이크 케이스(snake_case)로 자동 변환됩니다. 예를 들어 SubjectUserName은 subject_user_name으로 변환됩니다.
ZIP 파일 내부의 EVTX 파일을 조회하려면 zippath 옵션에 ZIP 파일 경로를 지정하고 대상에 ZIP 내부의 EVTX 파일 경로를 지정합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
EVTX 파일 조회
evtx-file /opt/logpresso/evidence/System.evtx지정한 경로의 EVTX 파일에서 모든 이벤트 레코드를 조회합니다.
-
와일드카드로 여러 EVTX 파일 조회
evtx-file /opt/logpresso/evidence/*.evtx지정한 디렉터리의 모든 EVTX 파일에서 이벤트 레코드를 조회합니다.
-
ZIP 파일 내부의 EVTX 파일 조회
evtx-file zippath=/opt/logpresso/evidence/logs.zip System.evtxZIP 파일 내부의
System.evtx파일에서 이벤트 레코드를 조회합니다. -
특정 이벤트 ID 필터링
evtx-file /opt/logpresso/evidence/Security.evtx | search event_id == 4624보안 이벤트 로그에서 로그온 성공 이벤트(이벤트 ID 4624)만 필터링합니다.
호환성
evtx-file 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.