Sysmon 파일 생성 시각
이벤트 ID 2
| 타입 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | log_type | 로그유형 | 예: File creation time changed |
| 문자열 | emp_key | 사번 | |
| 문자열 | emp_name | 성명 | |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | computer | 호스트명 | 예: demo.acme.com |
| 문자열 | user | 계정 | 예: NT AUTHORITY\SYSTEM |
| 64비트 정수 | pid | PID | 예: 4652 |
| 문자열 | image_path | 이미지경로 | 예: C:\Windows\System32\spoolsv.exe |
| 문자열 | file_path | 파일경로 | 예: C:\Windows\System32\spool\drivers\x64\3\New\EFXIJRMV.exe |
| 날짜 | prev_file_ctime | 이전파일생성시각 | 예: 2024-05-19 14:40:31+0900 |
| 날짜 | file_ctime | 파일생성시각 | 예: 2024-05-19 14:40:30+0900 |
| 문자열 | pguid | 프로세스식별자 | 예: {51a1bb4b-635a-6647-5a00-000000001300} |