Digital Forensics part 45 Event log Forensics


Event Log ဟာအေရးႀကီးသလာဆုိရင္ အမႈမထားရင္ အေရးမႀကီးဘူး အမွဳထားရင္ေတာ့ အသုံးလဲ၀င္သလုိ အေရးလဲႀကီးပါတယ္။ MS Operation System တစ္ခုလုံးရဲ႕ security ကစလုိ႕ software hardware ရဲ႕အေျခအေနကုိေၿပာၿပေနတဲ့ Log ေတြအားလုံးပါ၀င္ပါတယ္။Forensics သာမက ရုိးရုိး window user ေတြေရာ MS Server သမားေတြအတြက္ပါ အသုံး၀င္ပါတယ္။ အသုံးခ်ႏုိင္ရင္ incident Response အတြက္ပါ အသုံး၀င္ပါတယ္။
Event Log ၾကည့္ၿပီးဘာေတြသိႏုိင္လဲ
ဘယ္ User က ဘယ္အခ်ိန္မွာ ဘာျဖစ္လဲ Remote system ေတြကဘာေတြျဖစ္လဲ ဘာေတြကုိ Access လုပ္သြားလဲ အစရွိသည္ျဖင့္သိႏုိင္ပါတယ္။ WS OS အလုိက္ MS အလုိက္ Version ျမင့္လာတာနဲ႕အမွ် Event Log file type ေတြ file name ေတြေၿပာင္းလာပါတယ္။ဘာလုိ႕လဲဆုိ အရင္ MS version ေတြမွာ file size ၾကီးတဲ့အတြက္ OS ကုိ ေႏွးေစတဲ့အတြက္ပါ။MS OS vista နဲ႕ MS Server 2008 မွာစတင္ေၿပာင္းလဲလာပါတယ္။
Performance ျမန္လာရုံတင္မက log ေတြလဲ မ်ားစြာပါ၀င္လာပါတယ္။
MS Server ေတြဆုိလဲ ဒီအတုိင္းပါပဲ။
ပါ၀င္တဲ့့ Log ေတြကေတာ့သူ႕အခြဲေတြ အခြဲေတြအလုိက္ အမ်ားၾကီးပါပဲ။
forensics view အရင္ဆုိရင္ေတာ့ case အလုိက္အၿပင္ရႏုိင္သမွ် Log ​ေတြရႏုိင္​တာ အ​ေကာင္​းဆုံးပါ.
Case ကရွင္းရင္ေတာ့ log တစ္ခုပဲၾကည့္ရုံပါပဲ။
မ႐ွင္​းရင္​ ဆက္​စပ္​ၿပီး​ေတြးလုိ႔ရ​ေအာင္​ပါ
MS server မွာဆုိ subcategory အလုိက္အပုိင္းေတြ ပါ၀င္ပါတယ္။
အေရးၾကီးတာက အပုိင္းလုိက္ အပိုင္းလုိက္ (subcategory)ထဲကုိ ဘာအေၾကာင္းေၾကာင့္ ဘာျဖစ္လုိ႕ Log ေတြ၀င္လာတာလဲဆုိတာပါ။


How To Forensics ?
online or offline investigation
Online ကေတာ့ရွင္းပါတယ္
MS window ,Server မွာပါတဲ့ Event Viewer ပါ
အရွင္းဆုံး fail audit / login attempt fail ကုိၿပထားပါတယ္

Comments

Popular posts from this blog

TikTok (tiktok.com) Imvestigation #OSINT