2.윈도우 이벤트 로그 파일 조회

Edit

2.1evtx-file

EVTX 윈도우 이벤트 로그 파일에서 이벤트 채널, 이벤트 공급자, 이벤트 ID, 이벤트 작업 등의 정보를 조회합니다.

문법

evtx-file [zippath=ZIPFILE_PATH] FILE_PATH
zippath

ZIP 파일의 절대 경로를 입력합니다.

FILE_PATH

데이터를 읽어들일 EVTX 윈도우 이벤트 로그 파일 경로를 입력합니다. zippath 옵션을 입력한 경우, zip 파일 내의 파일 경로를 입력합니다.

표 2-1출력 필드

필드 이름

타입

설명

_time

날짜

이벤트 발생 시각

computer

문자열

컴퓨터명

channel

문자열

이벤트 채널

provider

문자열

이벤트 공급자

event_id

정수

이벤트 ID

task

정수

이벤트 작업

level

정수

이벤트 레벨

record_id

정수

레코드 ID

msg

문자열

이벤트 메세지

event_data

이벤트 데이터

사용 예

1) 파일 경로를 입력하여 조회

evtx-file D:\testdata\evtx\System.evtx

2) zippath 옵션을 입력한 경우, 조회

evtx-file zippath=D:\testdata\evtx.zip evtx\System.evtx

3) 이벤트 공급자가 MySQL 인 이벤트 조회

evtx-file D:\testdata\evtx\application.evtx
| search provider=="MySQL"

4) 이벤트 메시지(msg 필드)를 룩업으로 대체

evtx-file D:\testdata\evtx\application.evtx
| mpsearch msg [ lookuptable EVTX_WHITE ] | search len(_mp_result) == 0
Count of comments [0]