none
특정 프로그램 실행 로그 확인법 RRS feed

  • 질문

  • 특정한 프로그램을 언제 실행했고, 언제 종료했는지(혹은 언제 실행했고, 얼마간 실행 상태를 지속했는지)에 대한

    로그를 얻을 수 있는 방법이 있나요?

    검색해 보니까.. 이벤트뷰어에서 확인할 수 있다고 하는데

    응용프로그램 탭, 보안탭, 시스템 탭 등에서도 제가 원하는 결과를 얻을 수가 없었습니다.

    예를들어,

    응용프로그램 / 시작시간 / 종료시간 / ~~~

    mspaint / 2017. 12. 28 10:00 / 2017. 12. 28. 10:00 / ~~

    이런식으로 확인할 수 있나요?

    그리고 이벤트뷰어에서 보니까 오늘 기준으로 가장 오래된 기록이 2017년 8월 21일 이던데 그 이전 기록도 확인가능한가요?

    2017년 12월 28일 목요일 오전 9:13

답변

  • 안녕하세요?

    하기 방법을 사용하여 보시기 바랍니다.

    1. Windows 키 + R를 동시에 눌러 실행창을 표시합니다.

    2. gpedit.msc를 입력하여 "로컬 그룹 정책 편집기"를 오픈합니다.

    3. 컴퓨터 정책->원도우 설정->보안 설정->로컬 정책->감사 정책->"프로세스 추적 감사"를 오픈하여 "성공"을 선택하시고 "확인"을 누릅니다.

    [참고자료]

    Audit process tracking

    https://docs.microsoft.com/en-us/windows/device-security/auditing/basic-audit-process-tracking

    4. 이벤뷰 뷰어->원도우 로그->보안 로그에를 선택하신 후 우측 화면에 "현재 로그 필터링"을 선택합니다.

    - 실행했던 프로그램의 로그들은 이벤트 소스는 "Microsoft Windows security auditing"을 이벤트 ID는 "4688", 항목은 "Process Creation" 키워드는 "Audit Success"를 선택하신 "확인"을 눌러 표시되는 항목은 확인하시기 바랍니다.

     

    - 종료 프로그램의 로그들은 이벤트 소스는 "Microsoft Windows security auditing"을 이벤트 ID는 "4688", 항목은 "Process Terminination" 키워드는 "Audit Success"를 선택하신 "확인"을 눌러 표시되는 항목은 확인하시기 바랍니다.

    [참고자료]

    명령줄 프로세스 감사

    https://docs.microsoft.com/ko-kr/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing

    참고로 이벤트 로그는 로그마다 용량이 설정되어 있고(기본값 100MB) 해당 용량이 초과하면 오랜된 로그 순서로 제거되면서(덮여쓰기 개념이므로 이전 데이터는 별도 백업하지 않으셨다고 확인이 불가능 합니다.) 새로운 로그를 기록하도록 설정되어 있습니다. 해당 부분을 변경하고 싶다면 변경하고자 하는 이벤트 로그->변경고자 하는 로그선택->오른쪽 화면의 "속성"에서 용량 및 용량이 초과되었을 경우 어떻게 작업할 것인지 선택하여 주시기 바랍니다.

    [참고자료]

    로그 보존 정책 설정

    https://technet.microsoft.com/ko-kr/library/cc721981(v=ws.11).aspx

    감사합니다.


    • 편집됨 Turtle Ko 2017년 12월 29일 금요일 오전 12:37
    • 답변으로 표시됨 Boram YiModerator 2017년 12월 29일 금요일 오전 1:38
    2017년 12월 29일 금요일 오전 12:34