none
Group Policy 에서 Audit logon Policy RRS feed

답변

  • 안녕하십니까? 김도남 님

    Microsoft TechNet Forum 사이트를 방문해 주셔서 감사합니다.

     

    문의 하신 “Group Policy 에서  Audit logon Policy”에 대한 답변을 드리겠습니다.

     

    Step 1 : Audit Logon Policy 활성화

     

    1.     시작 -> 실행 -> gpmc.msc를 입력 후 실행합니다.

     

    2.     Domain에 적용된 GPO를 우 클릭 후 Edit를 실행을 합니다.

     

    3.     좌측 패널에서 Computer Configuration -> Windows Settings -> Security Settings -> local Policies -> Audit Policy 노드를 선택을 합니다.

     

    4.     우측 패널에서 Audit logon events Policy를 활성화 합니다.

     

     

    Step 2 : Event ID

     

     

    아래 테이블 이외에 log on, off관련 이벤트 로그를 기록할 수 있습니다.

     

    Event ID

    Description

    4634

    계정 로그 아웃 성공

    4624

    계정 로그 온 성공

    4800

    컴퓨터 잠김

    4801

    컴퓨터 잠김 풀림

    4802

    스크린 세이버 시작

    4803

    스크린 세비어 취소

     

     

     

    Step 3 : 확인

     

    Audit logon event 로그 기록 확인

     

    1.     시작 -> 실행 -> EventVwr.msc를 입력 후 실행합니다.

     

    2.     좌측 패널에서 Windows Logs -> Security 노드를 선택을 합니다.

     

    3.     Security 노드를 우 클릭 후 Filter Current Log를 실행 합니다.

     

    4.     Event ID에 아래와 같이 입력후 OK버튼을 클릭 합니다.

    4634 ,4647,4624,4625,4648,4675,4649,4778,4779,4800,4801,4802,4803,5378,5632,5633

    5.     우측 패널에서 Event Log를 확인을 합니다.

     

     

     

    특정 유저 logon event 로그 기록 확인

     

    1.     시작 -> 실행 0> Eventvwr.msc를 입력 후 실행합니다.

    2.     좌측 패널에서 Winows Logs -> Security노드를 우 클릭 후 Filter Current Log를 실행을 합니다.

    3.     XML 탭으로 이동 후 하단에 있는 Edit Query manually 체크박스를 체크 합니다.

    4.     아래와 같이 전경색 부분에 임의의로 작성 후 Edit박에 입력을 합니다.

    <QueryList>

      <Query Id="0" Path="Security">

        <Select Path="Security">*[EventData[Data[@Name='TargetUserName'] and (Data='<Sam Account Name>')]]</Select>

      </Query>

    </QueryList>

     

     

     

    Sam Account Name : User01

     

     

     

    Step 4 : 4624 Event Log

     

     

    Administrator가 성공적으로 로그인 한 것을 알 수 있습니다.

     

    아래의 참조 자료에 Audit logon events를 통해서 Event ID를 확인할 경우 2008 이후 버전은 Description of security events in Windows Vista and in Windows Server 2008를 확인하시기 바랍니다.

     

    참고 자료

     

    Description of security events in Windows Vista and in Windows Server 2008

    http://support.microsoft.com/kb/947226

     

    Audit logon events

    http://technet.microsoft.com/en-us/library/cc787567(WS.10).aspx

     

    제가 문제에 대해 더 알아야 할 것이 있다면 응답 주시면 감사하겠습니다.

    제시해 드린 답변이 도움이 되었기를 바랍니다.

     

    2011년 11월 8일 화요일 오전 9:31
    중재자