2012.11.23 07:21
파일 삭제 감사 로그 (개체
액세스 감사)
“개체 액세스 감사” 그룹 정책을 사용하여 파일 삭제에 대한 실행자 , 실행 시간 등을 확인 할 수 있는 감사 로그 설정을 해보도록 하겠습니다.
1. 감사를 적용하려는 폴더 -> 속성 -> 보안 -> 고급
2. 고급 보안 설정 -> 감사 -> 추가
3. 액세스 권한이 있는 사용자 또는 그룹 선택 후 ‘삭제’ 감사 항목 체크
4. 그룹 정책 편집기 -> 컴퓨터 구성
-> Windows 설정
-> 보안 설정 -> 로컬 정책 -> 감사 정책
- 개체 액세스 감사 : 성공
5. 감사 설정이 되어있는 폴더 내의 파일 삭제 시 이벤트 로그의 보안 로그에서 확인 가능
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 개체 액세스
이벤트 ID: 560
날짜: 2012-11-22
시간: 오후 9:41:19
사용자: hostway\test
컴퓨터: TS1
설명:
개체 열기:
개체 서버: Security
개체 종류: File
개체 이름: E:\Top
Secret\2nd.txt
핸들 ID: 2308
작업 ID: {0,617261362}
프로세스 ID: 12084
이미지 파일 이름: C:\WINDOWS\explorer.exe
기본 사용자 이름: test
기본 도메인: hostway
기본 로그온 ID: (0x0,0x24C18D11)
Client
사용자 이름: -
클라이언트 도메인: -
클라이언트 로그온ID: -
액세스: DELETE
ReadAttributes
사용 권한: -
제한된 Sid 카운트: 0
액세스 마스크: 0x10080
번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
---|---|---|---|---|
77 | Windows 이벤트 에러메시지(이벤트 ID - 2020) | 호스트웨이 | 2012.09.07 | 9987 |
76 | Cluster HeartBeat | 호스트웨이 | 2012.09.07 | 9768 |
75 | Windows 로그온 유형 : Win32_LogonSession | 호스트웨이 | 2012.09.07 | 9490 |
74 | winsxs폴더 용량 줄이기 | 호스트웨이 | 2015.09.18 | 9473 |
73 | 윈도우 2003 그룹 정책으로 Disk 할당량 적용 | 호스트웨이 | 2012.09.06 | 9471 |
72 | 원격에서 터미널 연결된 세션 종료하기 | 호스트웨이 | 2015.09.07 | 9433 |
71 | iso 이미지르 이용한 부팅 USB 만들기 | 호스트웨이 | 2012.08.31 | 9367 |
70 | 도에인 특정 유저의 보안권한 설정 | 호스트웨이 | 2012.09.20 | 8939 |
69 | USB 설치 드라이브 만들기 | 호스트웨이 | 2015.09.07 | 8844 |
68 | 가상 주소 공간 최대화 | 호스트웨이 | 2012.10.11 | 8586 |
67 | 수동모드 FTP 서버에서 Windows 방화벽을 구성하는 방법 | 호스트웨이 | 2015.09.14 | 8582 |
66 | 도메인컨트롤러로 인식시키는법 | 호스트웨이 | 2012.11.22 | 8477 |
65 | DiskPart를 이용한 디스크 초기화 | 호스트웨이 | 2015.09.18 | 8402 |
64 | 스토리지 용도 HDD GPT 변환 및 포맷 방법 | 호스트웨이 | 2016.03.02 | 8056 |
63 | 볼륨 섀도우 카피 공간 축소 방법 | 호스트웨이 | 2015.09.18 | 8049 |
62 | forfiles를 이용한 파일 정리 | 호스트웨이 | 2015.09.18 | 7869 |
61 | Windows 2008 에서 netsh로 방화벽 컨트롤 | 호스트웨이 | 2015.09.09 | 7852 |
60 | 삭제된 파일 복원 불가능하게 보안설정하기 | 호스트웨이 | 2015.09.10 | 7758 |
59 | Dependency 도구 이용한 dll 종속성 확인 | 호스트웨이 | 2015.09.18 | 7501 |
58 | PowerShell을 이용한 Alias(별칭) 만들기 | 호스트웨이 | 2015.12.31 | 7408 |