none
보안로그 필터링 질문입니다! RRS feed

  • 질문

  • 안녕하세요. 저희는 2012 R2 를 사용하고 있습니다.

    보안로그 에서 4624(감사성공),  4625(감사실패), 에 대한 로그를 분석하다가,

    한 서버에서 뭔가 불필요하게 중복되어 로그가 발생하는 것을 깨달았습니다.

    4625 (감사실패) ,

    타입 : 3

    이 로그가 약 1달만에 2000건 인데, 정확한 분 단위로 1개씩 발생합니다.

    아마도 현재 깔려있는 어플리케이션에서, 자동적으로 잘못된 계정으로 계속해서 엑세스를 시도하다보니.  

    발생하는것 같은데요,

    제가 궁금한것은  저 로그온타입3 번을 기준으로 잡아서, 계속 발생하는 로그를 필터하고 싶습니다.

    즉, 다시말씀드리면 그냥 4625 를 검색한 상태에서, 모든 로그온 타입이 포함된 상태에서 타입 3번만을 제외시켜고 싶습니다.

    XML 창에서 어떻게 수정해야 하는지 알려주시면 감사하겠습니다..

      


    • 편집됨 mlxg 2019년 7월 30일 화요일 오전 11:16
    2019년 7월 30일 화요일 오전 11:16

모든 응답

  • 안녕하세요,

    그런 방법을 딱히 생각하기 어려울 것 같습니다. 

    문의하신 바대로 보기를 만들기 위해선  and not 과 contains를 사용하는 방법을 생각해볼 수 있지만, Windows 의 이벤트 로그는 XPath 1.0의 서브셋만 지원하기 때문에 contains를 사용할 수 없는 등 사용할 수 있는 쿼리의 제한이 있어 사용할 수가 없습니다.

    https://docs.microsoft.com/ko-kr/windows/win32/wes/consuming-events#limitations

    감사합니다.


    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 7월 31일 수요일 오전 1:38
    중재자