파일 삭제 감사 로그 (개체 액세스 감사)

“개체 액세스 감사” 그룹 정책을 사용하여 파일 삭제에 대한 실행자 , 실행 시간 등을 확인 할 수 있는 감사 로그 설정을 해보도록 하겠습니다.

1. 감사를 적용하려는 폴더 -> 속성 -> 보안 -> 고급

2. 고급 보안 설정 -> 감사 -> 추가

3. 액세스 권한이 있는 사용자 또는 그룹 선택 후 ‘삭제’ 감사 항목 체크

4. 그룹 정책 편집기 -> 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 감사 정책

- 개체 액세스 감사 : 성공

5. 감사 설정이 되어있는 폴더 내의 파일 삭제 시 이벤트 로그의 보안 로그에서 확인 가능

이벤트 형식:        성공 감사

이벤트 원본:        Security

이벤트 범주:        개체 액세스

이벤트 ID:           560

날짜:                   2012-11-22

시간:                   오후 9:41:19

사용자:                hostway\test

컴퓨터:   TS1

설명:

개체 열기:

             개체 서버:           Security

             개체 종류:           File

             개체 이름:           E:\Top Secret\2nd.txt

             핸들 ID:  2308

             작업 ID:  {0,617261362}

             프로세스 ID:        12084

             이미지 파일 이름:             C:\WINDOWS\explorer.exe

             기본 사용자 이름:             test

             기본 도메인:        hostway

             기본 로그온 ID:    (0x0,0x24C18D11)

             Client 사용자 이름:            -

             클라이언트 도메인:            -

             클라이언트 로그온ID:         -

             액세스:   DELETE

                                        ReadAttributes

             사용 권한:           -

             제한된 Sid 카운트:            0

             액세스 마스크:     0x10080