none
Windows 2012 r2 보안로그(4624,4625) 질문입니다. RRS feed

  • 질문

  • 안녕하세요.

    이벤트뷰어에서 보안 탭의 로그 필터링 관련하여 도움받고자질문 드립니다.

    os는 2012 r2 이며, 제가 확인 해야 할 로그는.

    event id : 4624,4625 입니다. 감사성공과 실패를 필터링 하고 있는데

    xml 탭 수정하여 로그온 타입별로 필터링을 하는법은 알겠습니다만.

    궁금한점은 누군가가 서버에 원격으로 로그인을 성공을 했을때, 4624(감사성공) 이벤트가 다량 발생합니다.

    로그온 타입도 2.3,10 으로 다양한데, 2,3이 여러개이고

    결국 맨 마지막에 로그온타입이 10번 로그가 1개 있으며, 원격 로그인 성공하는 과정에서

    로그온 타입 2,3 이 자동으로 발생하는걸로 이해하고 있습니다.

    2번은 로컬(kvm 및 키보드) 로 접속시 생기는 로그고, 3번은 네트워크를 통한 접속로그로 알고있습니다만,

    그렇다면 누군가가 ftp 혹은 파일 공유, IIS 접속 등 다른 네트워크 방식을 통해 접속을 하게되면, 4624 로그온타입 3번으로 로그가 생길텐데.

    "원격접속 성공시 과정에서 자동으로 생성되는 4624(logon type 2,3) 로그들과,

    "ftp 혹은 파일 공유, IIS 접속 등 실직적으로 네트워크를 통해 엑세스를 하게되면 발생하는 로그들" 을 분간할수있는 방법이 궁금합니다.

    물론 일일히 확인을 하면 가능하겠지만. 이것을 필터링으로 구분할수 있는 방법좀 부탁 드립니다.

    감사합니다.

    2019년 6월 11일 화요일 오후 1:49

답변

  • 안녕하세요,

    연결 방법에 따라 로그가 분리되는 것이 아닌 추가로 logon type이 기록되는 형태이기 때문에, 말씀하신 사항처럼 필터링하여 쉽게 구분이 가능하진 않을 것으로 보여집니다.


    3rd party 프로그램에서 이벤트 로그에 대한 분석을 용이하게 제공할 수는 있으나, 자체적 기능으로는 어려울 것으로 보여집니다.


    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com으로 문의할 수 있습니다.

    • 답변으로 표시됨 mlxg 2019년 11월 14일 목요일 오후 3:59
    2019년 6월 12일 수요일 오전 12:14
    중재자