Windows Server 진단 - 이벤트 로깅 감사 정책 점검
진단 시나리오
Windows Server의 이벤트 로깅 및 감사 정책 설정을 확인합니다.
점검 결과
| 감사 정책 | 현재값 | 권장값 | 상태 |
| 로그온/로그오프 | 비활성화 | 성공/실패 | 부적절 |
| 계정 관리 | 성공만 기록 | 성공/실패 | 부적절 |
| 디렉토리 서비스 변경 | 비활성화 | 성공/실패 | 부적절 |
| 정책 변경 | 성공/실패 | 성공/실패 | 양호 |
| 권한 부여 | 비활성화 | 성공/실패 | 부적절 |
이벤트 로그 설정
로그 경로: Event Viewer > Windows Logs > Security
[설정 내용]
최대 로그 크기: 20480 KB (권장: 100000 KB 이상)
오래된 로그: 덮어쓰기 (권장: 보관 또는 대용량 스토리지로 이동)
감사 로그 보관 기간: 설정 안 함 (권장: 최소 90일 보관)
[문제점]
- 로그 크기가 작아서 중요 기록 손실 가능
- 자동 덮어쓰기로 인한 감시 공백
- 장기 보관 정책 부재
PowerShell 명령
# 현재 감사 정책 확인
auditpol /get /category:*
# 로그온/로그오프 감사 활성화
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
# 계정 관리 감사 활성화
auditpol /set /category:"Account Management" /success:enable /failure:enable
# 보안 이벤트 로그 크기 증가
Limit-EventLog -LogName Security -MaximumSize 100000KB
# 감사 로그 내보내기
wevtutil export-log Security c:\audit_backup.evtx
조치 가이드
- 핵심 감사 정책 활성화:
- 로그온/로그오프 (성공/실패)
- 계정 및 그룹 관리 (성공/실패)
- 권한 부여 사용 (성공/실패)
- 정책 변경 (성공/실패)
- 로그 저장소 확대: 최소 100MB 이상 할당
- 로그 보관 정책: 최소 90일 보관, 중요 로그는 아카이브
- 중앙 로깅: Syslog 또는 SIEM으로 중앙 수집
- 정기 검토: 월 1회 보안 이벤트 로그 검토 및 분석