Window 로그설정 노트(1)_KISA 배포자료

1. 이벤트 로그 감사 설정

 - 제어판을 이용한 설정
  윈 8 : gpedit.msc ▶ 컴퓨터 구성 ▶ Windows 설정 ▶ 보안 설정 ▶ 로컬 정책 ▶ 감사 정책
  윈 7, 윈 10, 윈12, 윈 16 : gpedit.msc ▶ 컴퓨터 구성 Windows 설정 ▶ 보안 설정 ▶ 고급 감사 정책 구성 ▶ 시스템 감사 정책

                                  ▶ 계정 로그온, 계정 관리, 세부 추적, 로그온/로그오프, 개체 액세스, 시스템

 - 자격 증명 유효성 검사 감사 (성공, 실패)
   기타 계정 로그온 이벤트 감사 (성공, 실패)
   컴퓨터 계정 관리 감사 (성공, 실패)
   사용자 계정 관리 감사 (성공, 실패)
   프로세스 만들기 감사 (성공, 실패)
   RPC 이벤트 감사 (성공, 실패)
   로그오프 감사 (성공, 실패)
   로그온 감사 (성공, 실패)
   기타 로그온/로그오프 이벤트 감사 (성공, 실패)
   특수 로그온 감사 (성공, 실패)
   파일 공유 감사 (성공, 실패)
   기타 개체 액세스 이벤트 감사 (성공, 실패)
   보안 상태 변경 감사 (성공, 실패)

 

- 고급 감사정책 구성 GUI는 쓸 수 없으며 auditpol.exe를 통한 수동 설정만 가능

 

2. 이벤트 로그 크기 설정

 - 레지스트리를 이용한 설정
   : HKLM\SYSTEM\CurrentControlSet\services\ eventlog\Security\MaxSize (REG_DWORD)
   : HKLM\SYSTEM\CurrentControlSet\services\ eventlog\System\MaxSize (REG_DWORD)
   : HKLM\SYSTEM\CurrentControlSet\services\ eventlog\Application\MaxSize (REG_DWORD)
   : HKLM\SYSTEM\CurrentControlSet\services\ eventlog\Windows PowerShell\MaxSize  (REG_DWORD)

- 보안, 시스템, 애플리케이션 : 0xFFFF0000 (4194240 KB) (4GB 이상)
  파워쉘 : 0x06400000 (102400 KB) (100MB 이상)

 

- Security, System, Application 이벤트 로그는 여유 공간 확보 후 저장

 

3. 이벤트 로그 경로 변경

 - 로그 경로 변경 (추가 볼륨이 있을 경우)이벤트 뷰어 ▶ Windows 로그 ▶시스템, 응용 프로그램, 보안 ▶ 속성 ▶ 로그 경로

 

 - 다음과 같은 추가 볼륨 경로로 변경 : <추가 볼륨>\EventLogs

 

 - 보안, 시스템, 응용프로그램 이벤트 로그는 추가 disk 사용 권고

 

4. 이벤트 로그 설정 (시간 변경)

- 로그 크기 설정 : 이벤트 뷰어 ▶ 응용 프로그램 및 서비스 로그 ▶Microsoft ▶ Windows ▶ DateTimeControlPanel ▶Operational ▶ 속성

 

- 로깅 : 사용 크기 : 0x06400000 (102400 KB) (100MB 이상)

 

- Microsoft-Windows-DateTimeControlPanel%4Operational.evtx

 

5. 이벤트 로그 설정(저장매체 연결)

- 로그 크기 설정 : 이벤트 뷰어 ▶ 응용 프로그램 및 서비스 로그 ▶Microsoft ▶ Windows ▶DriverFrameworks-UserMode ▶ Operational ▶ 속성

 

- 로깅 : 사용 크기 : 0x06400000 (102400 KB) (100MB 이상)

 

- Microsoft-Windows-DriverFrameworks�UserMode%4Operational.evtx

 

6. 이벤트 로그 설정(윈도우 방화벽)

- 로그 크기 설정 : 이벤트 뷰어 ▶ 응용 프로그램 및 서비스 로그 ▶Microsoft ▶ Windows ▶ Windows Defender ▶Operational ▶ 속성

 

- 로깅 : 사용 크기 : 0x06400000 (102400 KB) (100MB 이상)

 

- Microsoft-Windows-Windows Defender%4Operational.evtx

 

7. 이벤트 로그 설정(원격 데스크톱)

- 로그 크기 설정
 이벤트 뷰어 ▶ 응용 프로그램 및 서비스 로그 ▶Microsoft ▶ Windows 

  : RemoteDesktopServices-RdpCoreTS ▶ Operational ▶ 속성
  : TerminalServices-LocalSessionManager ▶ Operational ▶ 속성 : TerminalService-RemoteConnectionManager ▶ Operational ▶ 속성

 

- 로깅 : 사용 크기 : 0x06400000 (102400 KB) (100MB 이상)

 

- Microsoft-Windows-RemoteDesktopServices�RdpCoreTS%4Operational.evtx,
- Microsoft-Windows-TerminalServices�LocalSessionManager%4Operational.evtx,