net start | findstr "SERVICE_NAME"

sc query | findstr "SERVICE_NAME"

sc query | findstr "DISPLAY_NAME"

wmic service > service.txt

wmic service Sysmon64 > service_Sysmon64.txt

notepad service_Sysmon64.txt

wmic product > product.txt

notepad procut

이벤트로그는 윈도우 시스템을 사용하면서 남는 로그를 뜻한다.

로그의 경로는 C:\Windows\System32\winevt\Logs이며 Application/Security/Setup/System 등이 대표적인 윈도우의 로그이다.(윈도우 vista 이상) 로그 저장 형태는 binary 및 XML이며 .evtx의 확장자명을 가진다.

이벤트 로그에서 얻을 수 있는 정보는 외부 IP로부터 로그인 정보, RDP연결, 프로세스 생성/삭제 로그, 힙 영역 손상, 서비스 설치, 시스템 전원 관리 등이 있다.

이를 위해 확인해볼 부분은 날짜, 시간, 사용자(이벤트 발생 시 로그온 되어있는 사용자 이름), 컴퓨터(이벤트 발생 컴퓨터 이름), 이벤트 ID(어떤 이벤트가 발생했는지 식별), 원본(프로그램, 시스템 구성요소), 종류(오류, 경고, 정보, 성공감사, 실패감사), 범주가 있다.

응용프로그램 로그(C:\Windows\System32\winevt\Logs\Application.evtx)

응용 프로그램 구동 중 특이사항이 발생될 때 저장되는 로그.

응용프로그램에 의해 제어되기 때문에 응용프로그램 개발자에 의해 정의되는 경우가 많다. 그렇기때문에 모든 응용프로그램이 이벤트 로그를 생성하는 것은 아니다.

시스템(C:\Windows\System32\winevt\Logs\System.evtx)

윈도우 시스템을 구동하거나 운영하면서 발생된 충돌이나 에러 등이 저장되는 로그.

주로 하드웨어 장치나 드라이버 오류 정보 및 동작 여부 등이 기록되며 윈도우 시스템 진단 및 문제점 해결을 위해 사용된다.

주의 깊게 살펴보아야 할 정보들은 시간 변경, 시스템 시작/종료, 서비스 시작/종료/실패 등이 있다.

보안(C:\Windows\System32\winevt\Logs\Security.evtx)