Windows 이벤트 로그 파일 경로

 

Windows 부팅 시간을 확인하려면, FTK Imager를 사용하여 특정 이벤트 로그 파일을 수집해야 합니다. 주요 이벤트 로그 파일과 경로는 다음과 같습니다.

---

🔍 1. 시스템 부팅 관련 주요 이벤트 로그 파일

Windows의 부팅 시간은 "System" 이벤트 로그에서 확인할 수 있습니다. 다음 파일을 수집해야 합니다.

📁 Windows 이벤트 로그 파일 경로

📌 시스템 이벤트 로그 파일

C:\Windows\System32\winevt\Logs\System.evtx

✅ 이벤트 ID:

• 6005 → "Event Log Service Started" (Windows 부팅 완료)
• 6006 → "Event Log Service Stopped" (Windows 종료)
• 6008 → "Unexpected Shutdown" (비정상 종료)
• 6013 → 시스템이 얼마나 오래 실행되었는지(업타임)

📌 보안 이벤트 로그 파일 (선택적)

C:\Windows\System32\winevt\Logs\Security.evtx

✅ 이벤트 ID:

• 4624 → 로그인 성공 (사용자 로그온)
• 4634 → 사용자 로그오프
• 4800 → 시스템 잠금
• 4801 → 시스템 잠금 해제

📌 커널 부팅 관련 로그 파일 (선택적)

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Boot.evtx

✅ 이벤트 ID:

• 27 → 시스템이 "부팅" 시작
• 41 → 비정상적인 시스템 종료 후 부팅됨
• 55 → 디스크 정리 수행됨

📌 디스크 관련 로그 (부팅 지연 원인 분석)

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx

✅ 이벤트 ID:

• 100 → Windows 부팅 소요 시간
• 101 → 부팅 속도를 저하시킨 애플리케이션
• 102 → 서비스 로드 지연 원인
• 110 → 시스템 종료 속도 기록

📌 전원 및 배터리 관련 로그

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Power-Troubleshooter.evtx

✅ 이벤트 ID:

• 1 → 절전 모드 해제(부팅과 유사한 이벤트)

---

🛠 FTK Imager로 이벤트 로그 수집하는 방법

1. FTK Imager 실행
   • 관리자 권한으로 실행
2. "File" → "Add Evidence Item" 클릭
3. "Logical Drive" 또는 "Contents of a Folder" 선택
   • Logical Drive: 전체 드라이브에서 파일 찾기
   • Contents of a Folder: 특정 폴더 선택
4. 다음 디렉터리를 찾아 파일을 추가
   • C:\Windows\System32\winevt\Logs\System.evtx
   • C:\Windows\System32\winevt\Logs\Security.evtx
   • C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Boot.evtx
   • C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx
   • C:\Windows\System32\winevt\Logs\Microsoft-Windows-Power-Troubleshooter.evtx
5. 파일을 Evidence로 저장
   • "Export Selected" 또는 "Create Image"를 사용하여 .evtx 파일을 저장

---

📊 이벤트 로그 분석 방법

• .evtx 파일을 FTK Imager에서 직접 확인할 수 없으므로, 다음 도구 중 하나를 사용하여 분석:
  • Windows Event Viewer (eventvwr.msc 실행)
  • EVTX Parser (logparser.exe)
  • PowerShell 명령어

    Get-WinEvent -LogName System | Where-Object { $_.Id -eq 6005 }
    

---

✅ 정리

파일 경로 주요 이벤트 ID 설명

C:\Windows\System32\winevt\Logs\System.evtx	6005, 6006, 6008, 6013	시스템 부팅 및 종료
C:\Windows\System32\winevt\Logs\Security.evtx	4624, 4634, 4800, 4801	로그인 및 로그오프 기록
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Boot.evtx	27, 41, 55	커널 부팅 정보
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx	100, 101, 102, 110	부팅 속도 분석
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Power-Troubleshooter.evtx	1	절전 모드 해제

이 로그 파일들을 FTK Imager에서 수집하고 분석하면 Windows 부팅 시간 및 관련 정보를 정확하게 확인할 수 있음. 🚀