2012.11.23 07:21
파일 삭제 감사 로그 (개체
액세스 감사)
“개체 액세스 감사” 그룹 정책을 사용하여 파일 삭제에 대한 실행자 , 실행 시간 등을 확인 할 수 있는 감사 로그 설정을 해보도록 하겠습니다.
1. 감사를 적용하려는 폴더 -> 속성 -> 보안 -> 고급
2. 고급 보안 설정 -> 감사 -> 추가
3. 액세스 권한이 있는 사용자 또는 그룹 선택 후 ‘삭제’ 감사 항목 체크
4. 그룹 정책 편집기 -> 컴퓨터 구성
-> Windows 설정
-> 보안 설정 -> 로컬 정책 -> 감사 정책
- 개체 액세스 감사 : 성공
5. 감사 설정이 되어있는 폴더 내의 파일 삭제 시 이벤트 로그의 보안 로그에서 확인 가능
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 개체 액세스
이벤트 ID: 560
날짜: 2012-11-22
시간: 오후 9:41:19
사용자: hostway\test
컴퓨터: TS1
설명:
개체 열기:
개체 서버: Security
개체 종류: File
개체 이름: E:\Top
Secret\2nd.txt
핸들 ID: 2308
작업 ID: {0,617261362}
프로세스 ID: 12084
이미지 파일 이름: C:\WINDOWS\explorer.exe
기본 사용자 이름: test
기본 도메인: hostway
기본 로그온 ID: (0x0,0x24C18D11)
Client
사용자 이름: -
클라이언트 도메인: -
클라이언트 로그온ID: -
액세스: DELETE
ReadAttributes
사용 권한: -
제한된 Sid 카운트: 0
액세스 마스크: 0x10080