안녕하세요!
이 홈페이지를 개설하고나서 처음으로 글을 써 봅니다.
(사실 지금 매우 많은 블로그를 갖고 있으면서 글을 안쓰고 있죠;;)
앞으로 페북에 커밋하지 않고 이 블로그에 커밋하길 저 또한 희망합니다(제발 ㅠㅜㅠㅜ)
오늘부터 여러 편으로 나눠 evtx 파일에 대하여 알아볼까 합니다.
EVTX 파일?
Windows 의 이벤트로그를 저장하는 파일입니다. 과거 Windows XP 시절에는 EVT 파일이었으나 현재 Vista 이상버전부터는 확장명이 EVTX 로 바뀌며 구조 또한 조금 바뀌었다고 합니다. 이 파일은 c:/Windows/System32/winevt/Logs 에 다양한 종류로 존재하면서 대부분의 이벤트들을 기록하고 있습니다. 이 파일만 있다면, 컴퓨터에서 어떤일이 일어났는지 확인을 할 수도 있습니다.
다양한 EVTX 파일
Windows 에는 아래와 같은 종류의 이벤트로그가 존재합니다.
- Application
- Security
- Setup
- System
- Forwarded Events
이 외에도 다양한 이벤트로그가 존재합니다. (너무 많아서 이하 설명을 생략합니다;;)
EVTX 파일의 기본구조
기본적으로는 Header 와 여러개의 Chunk 들로 이뤄져 있고 Chunk 속에는 Record 들이 있습니다. Record 가 계속 추가 되다가 Chunk 의 최대크기 (0x10000) 을 넘게 되면 새로 Chunk 가 추가되고 그 위에 Record 를 추가합니다.
그럼 이제 EVTX 의 기본 구조를 알아보았으니, 다음편에서는 EVTX의 Header 구조와 Chunk 를 알아보겠습니다.