%EC%9D%98%20%EC%9D%B4%EB%B2%A4%ED%8A%B8%EB%A5%BC%20%EB%8F%99%EC%8B%9C%EC%97%90%20%EB%B3%BC%20%EC%88%98%20%EC%9E%88%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
내 고객의 친구 중 한 명이 오늘 아침 안전하지 않은 원격 데스크톱 구성으로 인해 해킹 공격을 받았고 나에게 확인해 달라는 요청을 받았습니다. (모든 비즈니스 파일은 Dharma 랜섬웨어의 2018-Q1 변종에 의해 암호화되었습니다.)
다행히 Windows 이벤트 로그는 변조되지 않았으며 각 로그를 개별적으로(응용 프로그램, 보안, 시스템 등) 살펴본 후 공격 타임라인을 종합할 수 있었습니다. 악성 코드로 인해 Windows 서비스가 중지되거나 충돌한 후 연결이 끊어지는 것을 보았습니다.
Windows XP 이전에는 통과해야 할 응용 프로그램, 시스템 및 보안 로그만 있었지만 Windows Vista 이후에는 "응용 프로그램 및 서비스 로그" 트리 보기 노드 아래에 응용 프로그램별 로그가 있으며 각 새 Windows 릴리스에는 해당 로그가 있습니다. 검사할 새 로그가 점점 더 많아지고 있습니다. 불행하게도 수동으로 검토해야 합니다. 모든 로그에서 데이터를 선택한 다음 날짜/시간 범위 필터를 적용하거나 텍스트를 수행하는 방법은 없는 것 같습니다. 찾다.
...아니면 거기 있나요?
(이벤트 뷰어에서 사용자 정의 로그 보기를 만들 수 있다는 것을 알고 있지만 검색에 다른 로그를 추가하는 것은 쉽지 않으며 속도도 매우 느립니다. 실제로 전체 이벤트 뷰어 UI는 재설계 이후 고통스러울 정도로 느리고 느리고 어색합니다. 윈도우 비스타). 심지어 10개가 넘는 로그를 참조하는 보기를 생성하지 말라고 조언하기도 합니다.
생성 중인 필터 또는 사용자 지정 보기는 10개가 넘는 이벤트 로그를 참조합니다. 결과적으로 성능이 저하되고 메모리나 프로세서 시간이 많이 소모될 수 있습니다. 계속하시겠습니까?
사실, 지금 막 내 컴퓨터의 모든 로그를 참조하는 뷰를 만들었을 때 이벤트 뷰어가 작동을 멈추고 정지한 다음 결국 0개의 항목을 표시하게 되었기 때문에 완전히 손상된 것 같습니다.
두 타임스탬프 사이의 모든 로그에서 모든 이벤트를 덤프하기 위해 실행할 수 있는 PowerShell 명령이 있나요?
답변1
답변2
Windows API에는 256개의 로그 이름 제한이 있습니다. 한 번에 256개의 로그를 선택하거나 Powershell에서 관리자로 다음과 같이 수행하십시오.
get-winevent -listlog * | foreach-object { get-winevent -logname $_.logname }
get-winevent -listlog * | foreach { get-winevent @{logname = $_.logname;
starttime = '2/29' } -ea 0 } | where message -match 'whatever you want'