이벤트 뷰어의 감사 성공 또는 감사 실패란?

문제 해결을 돕기 위해 Windows 운영 체제에 기본 제공되는 이벤트 뷰어는 오류, 경고 및 필요한 조치를 취하기 위해 관리자가 분석할 수 있는 특정 이벤트에 대한 정보를 포함하는 시스템 및 응용 프로그램 메시지의 이벤트 로그를 표시합니다. 이 게시물에서는 이벤트 뷰어의 감사 성공 또는 감사 실패에 대해 설명합니다 .

이벤트 뷰어의 감사 성공 또는 감사 실패란?

이벤트 뷰어에서 감사 성공은 감사된 보안 액세스 시도가 성공한 것을 기록하는 이벤트이고, 감사 실패는 감사된 보안 액세스 시도가 실패한 것을 기록하는 이벤트입니다. 다음 부제목에서 이 주제에 대해 논의할 것입니다.

1. 감사 정책
2. 감사 정책 활성화
3. 이벤트 뷰어를 사용하여 실패한 시도 또는 성공한 시도의 소스 찾기
4. 이벤트 뷰어 사용에 대한 대안

이것들을 자세히 보자.

감사 정책

감사 정책은 보안 로그에 기록되는 이벤트 유형을 정의하며 이러한 정책은 성공 이벤트 또는 실패 이벤트일 수 있는 이벤트를 생성합니다. 모든 감사 정책은 성공 이벤트를 생성합니다. 그러나 그 중 일부만이 실패 이벤트를 생성합니다. 다음 두 가지 유형의 감사 정책을 구성할 수 있습니다.

감사 실패는 일반적으로 로그온 요청이 실패할 때 생성되지만 계정, 개체, 정책, 권한 및 기타 시스템 이벤트의 변경으로 인해 생성될 수도 있습니다. 가장 일반적인 두 가지 이벤트는 다음과 같습니다.

• 이벤트 ID 4771: Kerberos 사전 인증에 실패했습니다 . 이 이벤트는 도메인 컨트롤러에서만 생성되며 계정에 대해 Kerberos 사전 인증 필요 없음 옵션이 설정된 경우에는 생성되지 않습니다. 이 이벤트 및 이 문제를 해결하는 방법에 대한 자세한 내용은 Microsoft 설명서 를 참조하십시오 .
• 이벤트 ID 4625: 계정이 로그온하지 못했습니다 . 이 이벤트는 사용자가 이미 잠겨 있다고 가정하고 계정 로그온 시도가 실패했을 때 생성됩니다. 이 이벤트 및 이 문제를 해결하는 방법에 대한 자세한 내용은 Microsoft 설명서 를 참조하십시오 .

감사 정책 활성화

로컬 그룹 정책 편집기, 그룹 정책 관리 콘솔 또는 로컬 보안 정책 편집기를 통해 클라이언트 또는 서버 시스템에서 감사 정책을 활성화할 수 있습니다. Windows 서버의 도메인에서 새 그룹 정책 개체를 만들거나 기존 GPO를 편집할 수 있습니다.

클라이언트 또는 서버 컴퓨터의 그룹 정책 편집기에서 아래 경로로 이동합니다.

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

클라이언트 또는 서버 시스템의 로컬 보안 정책에서 아래 경로로 이동합니다.

Security Settings > Local Policies > Audit Policy

• 감사 정책의 오른쪽 창에서 해당 속성을 편집할 정책을 두 번 클릭합니다.
• 속성 패널에서 요구 사항에 따라 성공 또는 실패 에 대한 정책을 활성화할 수 있습니다 .

이벤트 뷰어를 사용하여 실패한 시도 또는 성공한 시도의 소스 찾기

관리자와 일반 사용자는 적절한 권한이 있는 로컬 또는 원격 시스템에서 이벤트 뷰어를 열 수 있습니다. 이제 이벤트 뷰어는 클라이언트 시스템이나 서버 시스템의 도메인에서 실패하거나 성공한 이벤트가 있을 때마다 이벤트를 기록합니다. 실패 또는 성공 이벤트가 등록될 때 트리거되는 이벤트 ID는 다릅니다(위의 감사 정책 섹션 참조). 이벤트 뷰어 > Windows 로그 > 보안 으로 이동할 수 있습니다 . 중앙의 창에는 감사를 위해 설정된 모든 이벤트가 나열됩니다. 실패한 시도 또는 성공한 시도를 찾으려면 등록된 이벤트를 거쳐야 합니다. 찾으면 이벤트를 마우스 오른쪽 버튼으로 클릭하고 이벤트 속성 을 선택할 수 있습니다.상세 사항은.

이벤트 뷰어 사용에 대한 대안

이벤트 뷰어를 사용하는 대신 클라우드 기반 서비스를 비롯한 다양한 소스의 이벤트 데이터를 집계하고 상호 연관시키는 데 사용할 수 있는 여러 타사 이벤트 로그 관리자 소프트웨어가 있습니다. SIEM 솔루션은 방화벽, 침입 방지 시스템(IPS), 장치, 애플리케이션, 스위치, 라우터, 서버 등에서 데이터를 수집하고 분석해야 하는 경우 더 나은 옵션입니다.

이 게시물이 유익한 정보가 되었기를 바랍니다.

성공 및 실패한 액세스 시도를 모두 감사하는 것이 중요한 이유는 무엇입니까?

사용자 로그온 감사는 도메인에 대한 모든 무단 로그인 시도를 탐지할 수 있는 유일한 방법이므로 침입 시도 탐지 성공 여부에 관계없이 로그온 이벤트를 감사하는 것이 중요합니다. 로그오프 이벤트는 도메인 컨트롤러에서 추적되지 않습니다. 사용자가 일치하는 SACL이 있는 파일 시스템 개체에 대한 액세스 시도에 실패할 때마다 감사 항목이 생성되므로 실패한 파일 액세스 시도를 감사하는 것도 똑같이 중요합니다. 이러한 이벤트는 중요하거나 중요하고 추가 모니터링이 필요한 파일 개체의 활동을 추적하는 데 필수적입니다.

Active Directory에서 감사 실패 로그를 어떻게 활성화합니까?

Active Directory에서 감사 실패 로그를 활성화하려면 감사할 Active Directory 개체를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택 합니다 . 보안 탭을 선택한 다음 고급 을 선택 합니다 . 감사 탭을 선택한 다음 추가 를 선택 합니다. Active Directory에서 감사 로그를 보려면 시작 > 시스템 보안 > 관리 도구 > 이벤트 뷰어 를 클릭 합니다. Active Directory에서 감사는 AD 개체 및 그룹 정책 데이터를 수집 및 분석하여 사전 예방적으로 보안을 개선하고 위협을 신속하게 탐지 및 대응하며 IT 운영을 원활하게 실행하는 프로세스입니다.