[Question]
List all traces about the system on/off and the user logon/logoff
(It should be considered only during a time range between 09:00 and 18:00 in the timezone from Question 4.)
① 분석 도구
- FTK Imager 4.3.0.18
- Microsoft Message Analyzer
② 관련 경로
- Root\Windows\System32\winevt\Logs
③ Event Log
| EventID | Summary |
| 4624 | An account was successfully logged on |
| 4647 | User initiated logoff |
| 4608 | Windows is starting up |
| 4609 | Window is shutting down |
| 1100 | Then event logging service has shut down |
④ 분석 결과
- Microsoft Message Analyzer의 필터링 기능을 통해 원하는 event id와 시간을 필터링 하였습니다.
- (*eventId = 4624 or *eventId = 4647 or *eventId = 4608 or *eventid = 4609 or *eventId = 1100)
and ((#Timestamp>= 2015-03-22T09:00:00 and #Timestamp<=2015-03-22T18:00:00) or (#Timestamp>=2015-03-23T09:00:00 and #Timestamp<=2015-03-23T18:00:00) or (#Timestamp>=2015-03-24T09:00:00 and #Timestamp<=2015-03-24T18:00:00) or (#Timestamp>=2015-03-25T09:00:00 and #Timestamp<=2015-03-25T18:00:00))
- (*eventId = 4624 or *eventId = 4647 or *eventId = 4608 or *eventid = 4609 or *eventId = 1100)
| Timestamp | Event ID | Summary |
| 2015-03-22 10:51:14 | 4608 | Windows를 시작하고 있습니다. |
| 2015-03-22 10:51:14 | 2624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-22 11:18:52 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-22 11:19:42 | 1100 | 이벤트 로깅 서비스가 종료되었습니다. |
| 2015-03-22 11:19:42 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-22 11:22:31 | 4608 | Windows를 시작하고 있습니다. |
| 2015-03-22 11:28:28 | 1100 | 이벤트 로깅 서비스가 종료되었습니다. |
| 2015-03-22 11:28:28 | 4647 | 사용자가 로그오프를 시작했습니다 |
| 2015-03-22 11:43:36 | 4608 | Windows를 시작하고 있습니다. |
| 2015-03-22 11:43:36 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-22 11:55:52 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-22 11:55:57 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-22 11:56:58 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-22 11:57:02 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-22 11:57:41 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-22 11:57:54 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-22 12:00:08 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-22 12:00:09 | 1100 | 이벤트 로깅 서비스가 종료되었습니다. |
| 2015-03-23 13:24:23 | 4608 | Windows를 시작하고 있습니다. |
| 2015-03-23 13:24:23 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-23 17:02:53 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-23 17:02:59 | 1100 | 이벤트 로깅 서비스가 종료되었습니다. |
| 2015-03-24 09:21:29 | 4608 | Windows를 시작하고 있습니다. |
| 2015-03-24 09:21:29 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-24 17:07:25 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-24 17:07:26 | 1100 | 이벤트 로깅 서비스가 종료되었습니다. |
| 2015-03-25 09:05:41 | 4608 | Windows를 시작하고 있습니다. |
| 2015-03-25 09:05:41 | 4624 | 계정이 성공적으로 로그온되었습니다. |
| 2015-03-25 11:30:57 | 4647 | 사용자가 로그오프를 시작했습니다. |
| 2015-03-25 11:31:00 | 1100 | 이벤트 로깅 서비스가 종료되었습니다. |
'CFReDS > Data Leakage Case' 카테고리의 다른 글
| 11. application execution log (0) | 2022.06.23 |
|---|---|
| 10. installed application (0) | 2022.06.23 |
| 9. Network interface (0) | 2022.06.23 |
| 8. last recorded shutdown date/time (0) | 2022.06.21 |
| 7. last logon (0) | 2022.06.21 |
