# Windows Event Log

## 개요

**Windows Event Log**(윈도우 이벤트 로그)는 마이크로소프트의 Windows 운영 체제에서 시스템, 응용 프로그램, 보안 관련 이벤트를 기록하고 관리하는 핵심 로깅 시스템입니다. 이 시스템은 운영 체제의 상태 모니터링, 문제 진단, 보안 감사, 규정 준수 평가 등 다양한 목적에 활용되며, 시스템 관리자와 보안 전문가에게 중요한 정보 소스로 작용합니다. Windows Vista 이후 도입된 **Windows Event Logging (WEL)** 아키텍처는 전통적인 이벤트 로그 시스템을 대체하여, 더 구조화되고 확장 가능한 로그 관리 기능을 제공합니다.

이 문서는 Windows Event Log의 구조, 주요 구성 요소, 주요 로그 유형, 보안 활용 사례, 관리 도구 및 분석 방법에 대해 설명합니다.

---

## 구성 요소 및 아키텍처

### 이벤트 로그 서비스 (Event Log Service)

Windows Event Log는 `Event Log` 서비스(Windows Event Log 서비스)를 통해 운영됩니다. 이 서비스는 이벤트를 생성, 저장, 검색 및 전달하는 역할을 수행하며, 다음 핵심 구성 요소로 이루어집니다:

- **이벤트 공급자 (Event Provider)**: 응용 프로그램, 드라이버, 시스템 구성 요소가 이벤트를 생성하여 로그 서비스에 전달합니다. 각 공급자는 고유한 GUID를 가지며, 이벤트 메시지 형식은 XML 기반으로 정의됩니다.
- **이벤트 채널 (Event Channel)**: 이벤트가 저장되는 논리적 저장소입니다. 주요 채널로는 `Application`, `System`, `Security` 등이 있으며, 사용자 정의 채널도 생성 가능합니다.
- **이벤트 로그 파일**: 기본적으로 `.evtx` 확장자를 가진 XML 기반 이진 파일 형식으로 저장됩니다. 이전 버전의 `.evt` 형식과 달리, `.evtx`는 구조화된 데이터를 효율적으로 저장하고 쿼리할 수 있습니다.
- **이벤트 뷰어 (Event Viewer)**: GUI 기반 관리 도구로, 로그를 조회하고 필터링할 수 있습니다.

---

## 주요 이벤트 로그 유형

Windows Event Log는 주요 3가지 기본 로그 채널과 추가 채널로 구성됩니다.

### 1. System 로그
운영 체제 자체에서 발생하는 이벤트를 기록합니다. 주로 드라이버 오류, 서비스 시작/중지, 하드웨어 문제 등이 포함됩니다.

- **이벤트 ID 예시**:
  - `7000`: 서비스가 시작되지 않았습니다.
  - `6008`: 시스템이 예기치 않게 종료되었습니다.

### 2. Application 로그
설치된 응용 프로그램에서 발생한 이벤트를 기록합니다. 소프트웨어 오류, 충돌, 초기화 실패 등이 포함됩니다.

- **이벤트 ID 예시**:
  - `1000`: 응용 프로그램 충돌 (예: .NET 예외)
  - `1001`: 오류 보고서 생성

### 3. Security 로그 (보안 로그)
**감사 기능**(Auditing)이 활성화된 경우, 로그인 시도, 권한 변경, 오브젝트 접근, 정책 변경 등의 보안 관련 이벤트를 기록합니다. 이 로그는 정보 보안 및 규정 준수(예: HIPAA, GDPR)에 매우 중요합니다.

- **이벤트 ID 예시**:
  - `4624`: 성공한 로그온
  - `4625`: 실패한 로그온 시도
  - `4670`: 개체 권한 변경
  - `4720`: 사용자 계정 생성

> 🔐 **보안 로그 접근 권한**: 보안 로그는 `Local Administrators` 그룹 또는 `Manage auditing and security log` 권한을 가진 사용자만 읽을 수 있습니다.

---

## 보안 관리에서의 활용

Windows Event Log는 사이버 보안 감시 및 침입 탐지의 핵심 도구로 사용됩니다.

### 1. 이상 징후 탐지
- 반복적인 `4625` 이벤트는 브루트 포스 공격을 시사할 수 있습니다.
- 비정상적인 시간대의 `4624` 이벤트는 계정 탈취 가능성을 나타냅니다.
- `4720`, `4726` 등의 계정 생성/삭제 이벤트는 내부 위협 탐지에 유용합니다.

### 2. 감사 정책 설정
보안 로그를 활용하려면 감사 정책을 활성화해야 합니다. 다음 명령어를 통해 설정 가능:

```cmd
# 감사 정책 설정 예시 (로컬 정책)
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
auditpol /set /category:"Account Management" /success:enable
```

### 3. SIEM 연동
기업 환경에서는 **SIEM**(Security Information and Event Management) 솔루션(예: Splunk, Microsoft Sentinel, QRadar)에 이벤트 로그를 전송하여 실시간 모니터링과 자동 경고를 구현합니다.

---

## 관리 및 분석 도구

### 1. 이벤트 뷰어 (Event Viewer)
- 경로: `제어판 > 관리 도구 > 이벤트 뷰어` 또는 `eventvwr.msc`
- 필터링, 저장, 사용자 지정 뷰 생성 가능

### 2. PowerShell 명령어
이벤트 로그를 스크립트로 분석할 수 있습니다.

```powershell
# 최근 10개의 보안 로그 조회
Get-WinEvent -LogName Security -MaxEvents 10

# 특정 이벤트 ID 검색 (예: 4625)
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625}

# XML 기반 고급 필터링
$FilterXML = @'
<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4625)]]</Select>
  </Query>
</QueryList>
'@
Get-WinEvent -FilterXml $FilterXML
```

### 3. Wevtutil (명령줄 유틸리티)
이벤트 로그 파일을 관리하고 내보내기/가져오기할 수 있습니다.

```cmd
wevtutil export-log Security C:\logs\security_backup.evtx
wevtutil query-events Application /count:5 /format:text
```

---

## 관련 문서 및 참고 자료

- [Microsoft Docs: Windows Event Log](https://learn.microsoft.com/ko-kr/windows/win32/wes/windows-event-log)
- [Event ID 참조 가이드 (TechNet)](https://www.microsoft.com/ko-kr/download/details.aspx?id=24474)
- [MITRE ATT&CK 프레임워크](https://attack.mitre.org/) – 이벤트 로그 기반 탐지 전략 참고

---

Windows Event Log는 단순한 오류 기록을 넘어, 시스템 안정성과 정보 보안의 핵심 인프라입니다. 적절한 감사 정책 설정과 지속적인 모니터링을 통해 잠재적 보안 위협을 조기에 식별하고 대응할 수 있습니다.