반응형

안녕하세요 유똥입니다.

오늘은 파워쉘 GUI 프로그래밍을 이용하여 나만의 이벤트 뷰어 로그 추출 및 분석 도구에 대하여 포스팅 진행하겠습니다!

 

이벤트 뷰어 로그 분석 도구를 만들기 전에 앞서, 이벤트 뷰어 로그에 관련하여 말씀드리겠습니다.

 

 이벤트 뷰어 로그란?

윈도우에서 컴퓨터의 사용 기록을 이벤트 뷰어라는 곳에 항상 기록을 하게 됩니다.

시스템에서 발생하는 각종 로그를 남기기 때문에 무슨 일이 발생하면 참고하여 오류를 확인하여야 합니다.

 

[ 응용프로그램 ] 응용 프로그램이 기록한 다양한 관련 이벤트를 저장하고, 기록되는 이벤트입니다.

이번 장에서는 응용프로그램 이벤트 뷰어 로그를 추출하는 GUI 프로그래밍을 만들려고 합니다!

아래의 내용을 토대로 참고 부탁드리겠습니다.

 

 사용방법

기본 UI


 

 응용프로그램 - 경고 추출

기간 지정 : 2021년 04월 22일 12시 46분 ~ 12시 47분 로그 지정


 소스코드

Add-Type -AssemblyName System.Windows.Forms # 필요한 .net 라이브러리로드 (출력을 억제하기 위해 void 사용)
Add-Type -AssemblyName System.Drawing


$window = New-Object System.Windows.Forms.Form
$window.Width = 1200
$window.Height = 700
$window.Text = '이벤트 뷰어 로그 확인'

$textBox = New-Object System.Windows.Forms.TextBox
$textBox.Multiline = $true
$textBox.Width = 650
$textBox.Height = 450
$textBox.location = new-object system.drawing.point(10,10)
$textBox.Font = "Microsoft Sans Serif,8"
$TextBox.Scrollbars = "both"
$TextBox.WordWrap = $false 
$window.controls.Add($textBox)

$InputBox = New-Object System.Windows.Forms.TextBox #  텍스트 상자 만들기 
$InputBox.Location = New-Object System.Drawing.Size (680,230 ) # 기본 에 대한 텍스트 상자의 위치 (px) 창 가장자리 (길이, 높이) 
$InputBox.Size = New-Object System.Drawing.Size (150,20 ) # 텍스트 상자의 크기 (픽셀 단위 ) (길이, 높이 )
#$InputBox.text = ""
$window.Controls.Add($InputBox) # 기본 창 내부의 텍스트 상자 활성화
$InputBox.hide()

$InputBox1 = New-Object System.Windows.Forms.TextBox #  텍스트 상자 만들기 
$InputBox1.Location = New-Object System.Drawing.Size (680,260 ) # 기본 에 대한 텍스트 상자의 위치 (px) 창 가장자리 (길이, 높이) 
$InputBox1.Size = New-Object System.Drawing.Size (150,20 ) # 텍스트 상자의 크기 (픽셀 단위 ) (길이, 높이 )
#$InputBox1.text = ""
$window.Controls.Add($InputBox1) # 기본 창 내부의 텍스트 상자 활성화
$InputBox1.hide()

$InputBox2 = New-Object System.Windows.Forms.TextBox #  텍스트 상자 만들기 
$InputBox2.Location = New-Object System.Drawing.Size (680,230 ) # 기본 에 대한 텍스트 상자의 위치 (px) 창 가장자리 (길이, 높이) 
$InputBox2.Size = New-Object System.Drawing.Size (150,20 ) # 텍스트 상자의 크기 (픽셀 단위 ) (길이, 높이 )
#$InputBox2.text = ""
$window.Controls.Add($InputBox2) # 기본 창 내부의 텍스트 상자 활성화
$InputBox2.hide()

$InputBox3 = New-Object System.Windows.Forms.TextBox #  텍스트 상자 만들기 
$InputBox3.Location = New-Object System.Drawing.Size (680,260 ) # 기본 에 대한 텍스트 상자의 위치 (px) 창 가장자리 (길이, 높이) 
$InputBox3.Size = New-Object System.Drawing.Size (150,20 ) # 텍스트 상자의 크기 (픽셀 단위 ) (길이, 높이 )
#$InputBox1.text = ""
$window.Controls.Add($InputBox3) # 기본 창 내부의 텍스트 상자 활성화
$InputBox3.hide()

$InputBox4 = New-Object System.Windows.Forms.TextBox #  텍스트 상자 만들기 
$InputBox4.Location = New-Object System.Drawing.Size (680,320 ) # 기본 에 대한 텍스트 상자의 위치 (px) 창 가장자리 (길이, 높이) 
$InputBox4.Size = New-Object System.Drawing.Size (150,20 ) # 텍스트 상자의 크기 (픽셀 단위 ) (길이, 높이 )
#$InputBox1.text = ""
$window.Controls.Add($InputBox4) # 기본 창 내부의 텍스트 상자 활성화
$InputBox4.hide()

$InputBox5 = New-Object System.Windows.Forms.TextBox #  텍스트 상자 만들기 
$InputBox5.Location = New-Object System.Drawing.Size (680,350 ) # 기본 에 대한 텍스트 상자의 위치 (px) 창 가장자리 (길이, 높이) 
$InputBox5.Size = New-Object System.Drawing.Size (150,20 ) # 텍스트 상자의 크기 (픽셀 단위 ) (길이, 높이 )
#$InputBox1.text = ""
$window.Controls.Add($InputBox5) # 기본 창 내부의 텍스트 상자 활성화
$InputBox5.hide()

$label = new-object system.windows.forms.label
$label.text = ""
$label.Location = New-Object Drawing.Point 30, 180
$label.Size = New-Object Drawing.Point 300,30
$window.controls.add($label)

$label2 = new-object system.windows.forms.label
$label2.text = "기간 지정"
$label2.Location = New-Object System.Drawing.Size 680,150
$label2.Size = New-Object Drawing.Point 300,30
$label2.hide()
$window.controls.add($label2)

$label3 = new-object system.windows.forms.label
$label3.text = "2019년 01월 17일 08시"
$label3.Location = New-Object System.Drawing.Size 680,180
$label3.Size = New-Object Drawing.Point 300,30
$label3.hide()
$window.controls.add($label3)

$label4 = new-object system.windows.forms.label
$label4.text = "예시 ) 1/17/2019 08:00:00"
$label4.Location = New-Object System.Drawing.Size 680,210
$label4.Size = New-Object Drawing.Point 300,30
$label4.hide()
$window.controls.add($label4)

#$button_click = {write-host "hi application"}
$button_click = {$textBox.Text = "hi application"}
#$button_click = {$label.Text = "hi application"}
$windowButton = New-Object System.Windows.Forms.Button
$windowButton.Location = New-Object System.Drawing.Point(20,500)
$windowButton.size = New-Object System.Drawing.Size(180,50)
$windowButton.BackColor ="White"
$windowButton.ForeColor ="Black"

$windowButton.Text = "응용프로그램"
$windowButton.Add_Click($button_click)

$commandResult =  Get-EventLog -LogName Application -EntryType warning | Out-String
#$result = get-content $commandResult | %{$_ -replace('\n','`n`')}

$button_click3 = {
   #$result = get-content $commandResult | %{$_ -replace('\n','`n`')}
   $textBox.Text = $commandResult
}

$windowButton3 = New-Object System.Windows.Forms.Button
$windowButton3.Location = New-Object System.Drawing.Point(680,10)
$windowButton3.size = New-Object System.Drawing.Size(180,50)
$windowButton3.BackColor ="Yellow"
$windowButton3.ForeColor ="Black"
$windowButton3.hide()
#$windowButton3.Scrollbars = "both"


$windowButton3.Text = "경고"
$windowButton3.Add_Click($button_click3)

$commandResult1 = Get-winevent application | where {$_.LevelDisplayName -eq "위험"} | Out-String

$button_click4 = {
   $textBox.Text = $commandResult1
}

$windowButton4 = New-Object System.Windows.Forms.Button
$windowButton4.Location = New-Object System.Drawing.Point(680,80)
$windowButton4.size = New-Object System.Drawing.Size(180,50)
$windowButton4.BackColor ="Red"
$windowButton4.ForeColor ="Black"
$windowButton4.hide()

$windowButton4.Text = "위험"
$windowButton4.Add_Click($button_click4)

$button_click7 = {
$date = $InputBox.text

$Date1 = $InputBox1.text

$Begin = Get-Date -Date $date

$End = Get-Date -Date $Date1

$commandResult7 = Get-EventLog -LogName application -EntryType warning -After $Begin -Before $End | Out-String
   #$commandResult7 = $textBox.Text
   $textBox.Text = $commandResult7
}

$windowButton7 = New-Object System.Windows.Forms.Button
$windowButton7.Location = New-Object System.Drawing.Point(850,240)
$windowButton7.size = New-Object System.Drawing.Size(30,40)
$windowButton7.BackColor ="White"
$windowButton7.ForeColor ="Black"
$windowButton7.hide()

$windowButton7.Text = "경고"
$windowButton7.Add_Click($button_click7)

$button_click9 = {

$date3 = $InputBox4.text

$Date4 = $InputBox5.text


$startTime = Get-Date -Date $date3

$endTime = Get-Date -Date $Date4

$commandResult9 = Get-winevent -FilterHashtable @{logname ="application"; startTime=$startTime; EndTime=$endTime;} | where {$_.LevelDisplayName -eq "위험"}  | Out-String

   #$commandResult7 = $textBox.Text
   $textBox.Text = $commandResult9
}


$windowButton9 = New-Object System.Windows.Forms.Button
$windowButton9.Location = New-Object System.Drawing.Point(850,330)
$windowButton9.size = New-Object System.Drawing.Size(30,40)
$windowButton9.BackColor ="White"
$windowButton9.ForeColor ="Black"
$windowButton9.hide()

$windowButton9.Text = "위험"
$windowButton9.Add_Click($button_click9)

$windowButton.Add_Click({show_button})
Function show_button(){
$InputBox.show()
$InputBox1.show()
$InputBox2.show()
$InputBox3.show()
$label.show()
$label2.show()
$label3.show()
$label4.show()
$windowButton3.show()
$windowButton4.show()
$windowButton7.show()
$windowButton9.show()
$InputBox4.show()
$InputBox5.show()
  }

$window.Controls.Add($windowButton)
$window.Controls.Add($windowButton3)
$window.Controls.Add($windowButton4)
$window.Controls.Add($windowButton7)
$window.Controls.Add($windowButton9)
[void]$window.ShowDialog() # 폼 활성화

여기까지 완료되었으면, 이벤트 뷰어 로그 - 응용프로그램 분석 관련하여 알아보았습니다.

다음장에는 이어서, 이벤트 뷰어 로그 - 보안에 관련하여 알아보겠습니다.

 

도움이 되셨다면 구독좋아요

궁금하신 내용이 있으시면 댓글 부탁드리겠습니다.

이벤트뷰어 로그_응용프로그램.ps1
0.01MB

 

반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기
});