어쨌든 이벤트 로그와 Snort 조합은 귀찮아서 못하겠더라. 그래서 구글신께 물어봤더니 윈도우 8.1부터는 DNS 조회 관련 이벤트를 자동으로 저장한다고.
바로 요놈.
그런데 '이벤트 뷰어 > 응용 프로그램 및 서비스 로그 > Microsoft > Windows' 경로에 등록되어 있음에도 LogParser 접근이 안 된다. LogParser 접근을 위해서는 레지스트리 등록 필요. (HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-DNS-Client/Operational)
DNS 조회 내역은 3006 이벤트에 기록 중.
그런데 프로세스 이름이 없다. 다른 이벤트들은 프로세스 이름 꼬박꼬박 잘도 기록하더니, 이건 왜(..) 대신 프로세스 ID는 기록. 하지만 유동적인 프로세스 ID로 뭘 하라고? 게다가 가만 보니 'EventData' 영역에 포함되어 있지도 않다. 이러면 LogParser로 접근할 수 없는데?
예상대로 'ProcessID' 필드는 접근이 안 된다. 이럴 거면 뭐하러 기록하지? 어쩐지 쉽게 풀린다 싶더라. 이걸 어쩐다?
댓글 없음:
댓글 쓰기