Group Policy 에서 Audit logon Policy
질문
답변
-
안녕하십니까? 김도남 님
Microsoft TechNet의 Forum 사이트를 방문해 주셔서 감사합니다.
문의 하신 “Group Policy 에서 Audit logon Policy”에 대한 답변을 드리겠습니다.
Step 1 : Audit Logon Policy 활성화
1. 시작 -> 실행 -> gpmc.msc를 입력 후 실행합니다.
2. Domain에 적용된 GPO를 우 클릭 후 Edit를 실행을 합니다.
3. 좌측 패널에서 Computer Configuration -> Windows Settings -> Security Settings -> local Policies -> Audit Policy 노드를 선택을 합니다.
4. 우측 패널에서 Audit logon events Policy를 활성화 합니다.
Step 2 : Event ID
아래 테이블 이외에 log on, off관련 이벤트 로그를 기록할 수 있습니다.
Event ID
Description
4634
계정 로그 아웃 성공
4624
계정 로그 온 성공
4800
컴퓨터 잠김
4801
컴퓨터 잠김 풀림
4802
스크린 세이버 시작
4803
스크린 세비어 취소
Step 3 : 확인
Audit logon event 로그 기록 확인
1. 시작 -> 실행 -> EventVwr.msc를 입력 후 실행합니다.
2. 좌측 패널에서 Windows Logs -> Security 노드를 선택을 합니다.
3. Security 노드를 우 클릭 후 Filter Current Log를 실행 합니다.
4. Event ID에 아래와 같이 입력후 OK버튼을 클릭 합니다.
4634 ,4647,4624,4625,4648,4675,4649,4778,4779,4800,4801,4802,4803,5378,5632,5633
5. 우측 패널에서 Event Log를 확인을 합니다.
특정 유저 logon event 로그 기록 확인
1. 시작 -> 실행 0> Eventvwr.msc를 입력 후 실행합니다.
2. 좌측 패널에서 Winows Logs -> Security노드를 우 클릭 후 Filter Current Log를 실행을 합니다.
3. XML 탭으로 이동 후 하단에 있는 Edit Query manually 체크박스를 체크 합니다.
4. 아래와 같이 전경색 부분에 임의의로 작성 후 Edit박에 입력을 합니다.
<QueryList><Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='TargetUserName'] and (Data='<Sam Account Name>')]]</Select>
</Query>
</QueryList>
Sam Account Name : User01
Step 4 : 4624 Event Log
Administrator가 성공적으로 로그인 한 것을 알 수 있습니다.
아래의 참조 자료에 Audit logon events를 통해서 Event ID를 확인할 경우 2008 이후 버전은 Description of security events in Windows Vista and in Windows Server 2008를 확인하시기 바랍니다.
참고 자료
Description of security events in Windows Vista and in Windows Server 2008
http://support.microsoft.com/kb/947226
Audit logon events
http://technet.microsoft.com/en-us/library/cc787567(WS.10).aspx
제가 문제에 대해 더 알아야 할 것이 있다면 응답 주시면 감사하겠습니다.
제시해 드린 답변이 도움이 되었기를 바랍니다.
- 편집됨 SangHyuk KimModerator 2011년 11월 8일 화요일 오전 9:33
- 답변으로 표시됨 김도남 2011년 12월 2일 금요일 오전 6:26
