none
[보안이벤트]logon, logoff 초당 70~72 개 누적 (4624, 4634) RRS feed

  • 질문

  • 안녕하세요.

    서버의 보안로그에 이벤트ID 4624, 4634 가 초당 70~72 개가 누적되고 있어

    (client 별로 연속으로 로그온 오프시도가 70~72개 발생)

    이것이 정상인지 문의 하고자 합니다.

    기본정보

    windows server 2008 R2 

    용도 : data 서버 (약 70여명의 사용자가 read/write)

    이벤트 정보

      

    이벤트 ID 4624


    계정이 성공적으로 로그온되었습니다.

    주체:
    보안 ID: NULL SID
    계정 이름: -
    계정 도메인: -
    로그온 ID: 0x0

    로그온 유형: 3

    가장 수준: 가장

    새 로그온:
    보안 ID: ANONYMOUS LOGON
    계정 이름: ANONYMOUS LOGON
    계정 도메인: NT AUTHORITY
    로그온 ID: 0xE18EBB84
    로그온 GUID: {00000000-0000-0000-0000-000000000000}

    프로세스 정보:
    프로세스 ID: 0x0
    프로세스 이름: -

    네트워크 정보:
    워크스테이션 이름: (정보삭제)
    원본 네트워크 주소: (정보삭제)
    원본 포트: 51992

    인증 세부 정보:
    로그온 프로세스: NtLmSsp 
    인증 패키지: NTLM
    전송된 서비스: -
    패키지 이름(NTLM 전용): NTLM V1
    키 길이: 128

    이 이벤트는 로그온 세션이 만들어질 때 액세스했던 컴퓨터에 생성됩니다.

    주체 필드는 로그온을 요청한 로컬 시스템의 계정을 나타냅니다. 이것은 주로 서버 서비스와 같은 서비스 또는 Winlogon.exe나 Services.exe와 같은 로컬 프로세스입니다.

    로그온 유형 필드는 발생한 로그온의 종류를 나타냅니다. 가장 일반적인 유형은 2(대화형)와 3(네트워크)입니다.

    새 로그온 필드는 새 로그온을 만든 계정, 즉 로그온된 계정을 나타냅니다.

    네트워크 필드는 원격 로그온 요청이 시작된 위치를 나타냅니다. 워크스테이션 이름은 항상 사용할 수 있는 것은 아니며 어떤 경우에는 비워 둘 수 있습니다.

    가장 수준 필드는 로그온 세션의 프로세스에서 가장할 수 있는 범위를 나타냅니다.

    인증 정보 필드는 이 특정 로그온 요청에 대한 자세한 정보를 제공합니다.
    - 로그온 GUID는 이 이벤트를 KDC 이벤트와 연관시키는 데 사용할 수 있는 고유 식별자입니다.
    - 전송된 서비스는 이 로그온 요청과 관련된 중간 서비스를 나타냅니다.
    - 패키지 이름은 NTLM 프로토콜 간에 사용된 하위 프로토콜을 나타냅니다.
    - 키 길이는 생성된 세션 키의 길이를 나타냅니다. 이 값은 요청된 세션 키가 없는 경우 0이 됩니다.


    -----------------------------------------------------------------------------------------------------------------------------
    이벤트 ID 4634

    계정이 로그오프되었습니다.

    주체:
    보안 ID: ANONYMOUS LOGON
    계정 이름: ANONYMOUS LOGON
    계정 도메인: NT AUTHORITY
    로그온 ID: 0xE18EBB84

    로그온 유형: 3

    이 이벤트는 로그온 세션이 소멸될 때 생성됩니다. 로그온 ID 값을 사용하는 로그온 이벤트와 연관되어 있을 수 있습니다. 로그온 ID는 같은 컴퓨터에서 다시 부팅할 때마다 고유합니다.

    여러분들의 조언 부탁드립니다.



    • 편집됨 janggun74 2019년 3월 27일 수요일 오전 1:00
    2019년 3월 27일 수요일 오전 12:52

모든 응답

  • 안녕하세요,

    보내주신 로그를 보았을 때,  Null sid의 경우 실제 사용자의 로그온 이벤트는 아닌 것으로 생각됩니다. 로컬 시스템 활동 중에 기록되는 로그온 이벤트로서 Windows 도메인 시스템의 일부로 ANONYMOUS LOGON 이 사용되었고, 따라서 네트워크 정보가 기록되지 않아 있는 것으로 보입니다. 조금 더 상세한 정보는 하기 링크들을 참고해보시기 바랍니다.

    https://serverfault.com/questions/338644/what-are-anonymous-logons-in-windows-event-log

    https://www.morgantechspace.com/2013/10/event-4624-null-sid-repeated-security.html

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 3월 27일 수요일 오전 2:05
    중재자