Window 로그설정 노트(2)_KISA 배포자료

 

1. 이벤트 로그 설정(네트워크 연결)

-  로그 크기 설정 : 이벤트 뷰어 ▶ 응용 프로그램 및 서비스 로그 ▶Microsoft ▶ Windows ▶ NetworkProfile ▶Operational ▶ 속성

 

- 로깅 : 사용크기 : 0x06400000 (102400 KB) (100MB 이상)

 

- Microsoft-Windows-NetworkProfile%4Operational.evtx

 

2. 로컬 방화벽 로그 설정

 

- 제어판을 이용한 설정

 -> 윈 8 : 시작 프로그램, 관리 도구 ▶고급 보안이 설정된 Windows 방화벽 ▶ 속성 ▶로깅, 사용자 지정

 -> 윈7, 윈 10, 윈 12, 윈 16 : 제어판 ▶ Windows 방화벽 ▶고급 설정 ▶ 속성 ▶ 로깅, 사용자 지정

 

- 손실된 패킷을 로그에 기록: 활성화 , 성공한 연결을 로그에 기록: 활성화

 

- %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log

 

3.프리패치 활성화

- 레지스트리를 이용한 설정 : HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\
  PrefetchParameters\EnablePrefetcher (REG_DWORD)
  : 0x00: 비활성화
  : 0x01: 응용프로그램 프리패칭 활성화
  : 0x02: 부트 프리패칭 활성화
  : 0x03: 응용프로그램과 부트 프리패칭 활성화 (권장)

 

- EnablePrefetcher : 0x03

 

- %SystemRoot%\Prefetch\*.pf SSD 사용시 기능 본 항목 설정 금지 권장

 

4. NTFS 트랜잭션 로그 크기 설정

- 현재 로그 크기 확인 : # chkdsk /L
- 로그 크기 설정 : # chkdsk /F /L:<size> (size는 KB 단위)

 

- # chkdsk /F /L:1048576 : (1 GB 이상)

 

- %SystemDrive%\$LogFile

 

5. NTFS 변경 로그 크기 설정

- 현재 로그 크기 확인 : # fsutil usn queryjournal <volume>
- 로그 크기 설정 : # fsutil usn createjournal m=<maxsize> a=<allocationdelta> <volume>

 

- # fsutil usn createjournal  m=4294967296 a=4194304 c:(4 GB 이상, 모든 볼륨에 적용)

 

- %SystemDrive%\$Extend\$UsnJrnl:$J

 

6. 시스템 복원 설정

- 제어판을 이용한 설정
 -> 윈8, 윈 12, 윈 16 : 시작 프로그램, 관리 도구 ▶Windows Server 백업 ▶ 백업 일정

    (윈도우 서버는 다음 위치에서 기능 설치후 설정 가능 : 시작 프로그램 ▶ 서버 관리자 ▶ 기능 추가 ▶Windows Server 백업 기능)
 -> 윈7, 윈 10 : 제어판 ▶ 시스템 속성 ▶ 시스템 보호 ▶볼륨 선택, 구성 ▶ 복원 설정, 디스크 공간 사용

 

- 시스템 설정 및 이전 버전 파일 복원 (체크), 디스크 공간 사용 : 20GB 이상으로 설정

 

- %SystemDrive%\System Volume Information