USB 접속의 경우, Registry를 통해서도 가능하지만 마지막 접속 시간만 확인 가능하여 제한적이다.
하지만 Event Log의 경우, 매 접속 시간을 확인이 가능하므로 분석에 보다 용이하다.
프로그램 실행에서 eventvwr을 치고 뷰어 화면에 들어간 뒤 응용프로램의 Microsoft 하위 폴더를 뒤지면 (Microsoft-Windows-DriverFrameworks-UserMode)를 찾아 들어 갈 수 있다.
또는 아래 위치를 접속하여 분석해 보자
- %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
 |
| USB 접속 정보 Event
장치 연결 정보(2000번 대역)
장치를 연결하면 2000, 2001, 2003, 2010, 1003, 1004… 등에서 정보를 확인 할 수 있다.
장치 해제 정보 (2100번 대역)
장치를 해제하면 2100, 2102, 2100, 2102, 1006,… 등이 확인 가능하다.
장치 연결 상관 분석
이제 연결 - 해제 사이의 정보를 가지고 언제부터 언제까지 USB를 접속하여 사용했는지 분석이 필요하다. 이벤트 로그를 클릭해서 하나씩 보면 GUID를 확인 가능하다.
GUID는 이벤트 로그를 클릭한 뒤 자세히 보기를 누르면 알 수 있다. 참고로 자세히에는 USB의 Serial Number까지 확인 가능하다.
아래 정보는 SONY USB로써 우리 와이프가 보유한 USB로 판단된다.
다시 돌아와서 전체 사용시간을 확인하려면 로그를 시간순으로 연결, 해제 정보로 나열한 뒤 GUID를 놓고 연결지어 보면 USB 사용 시간을 확인 할 수 있다.
 |
위 로그가 기본적으로 분석하려면 Event 로깅을 걸어야 한다. Win7의 경우 Default로 설정 되어 있는나 Win8의 경우 별도로 옵션을 설정해야한다.
이벤트 로그는 컴퓨터 시작, 종료 시점 등 여러모로 활용점이 많다.
해당 로그에 대해서 사용 가능한 옵션을 정리하고 필요한 Size를 정하여 회사 정책으로 내리는 전략이 필요하다.
다음시간에 전체 Event만 놓고 분석하는 시간을 가져야 겠다.
Merkur & Ferencia: Merkur & Ferencia Merkur
답글삭제Merkur & Ferencia filmfileeurope.com merkur - Merkur & wooricasinos.info Ferencia Merkur in 바카라 사이트 Solingen, Germany - Merkur - Merkur 나비효과 Merkur - MERKUR - https://febcasino.com/review/merit-casino/ Merkur & Ferencia Merkur