[SK shieldus Rookies 16기][클라우드기반 시스템 운영 및 구축] 윈도우 로그

1. 윈도우 로그

• 윈도우에서는 로그를 이벤트라고 지칭
• 윈도우 운영상의 로그는 이벤트 뷰어에서 관리 ⇔ 프로세스 생성, 삭제, 네트워크 접속 현황은 모니터링 툴인 Sysmon을 이용
• 운영체제가 업그레이드 됨에 따라 버전 별로 형태와 경로가 상이함
• Window 2000/XP/2003
  • 저장경로 : \windows\system32\config
  • 확장자명 : .evt
• Windows Vista/2008/7/10
  • 저장경로 : \windows\system32\winevt\logs
  • 확장자명 : .evtx

2. 이벤트 뷰어

2.1. 전역 로그

1. 응용프로그램
   • 윈도우 번들 소프트웨어의 활성화 여부 기록
   • 응용 프로그램이 기록한 다양한 로그가 저장
   • 활성화 여부를 기록, 해당 프로그램의 개발자에 의해 로그 형태 달라짐
2. 보안
   • 인가/비인가자들의 로그인 시도 및 파일 생성, 열람, 삭제 등의 자원 사용에 관한 기록
   • 감사 정책을 통해 다양한 기록들이 저장
3. 설정
   • 애플리케이션 설치 시 발생하는 이벤트 기록
   • 프로그램이 잘 설치되었는지 호환성 문제는 없는지 확인 가능
4. 시스템
   • 서비스 실행여부, 파일 시스템 필터, 디바이스 구성요소 기록
   • 시스템에서 시스템 부팅 시 드라이버가 로드되지 않은 경우와 같은 구성요소의 오류 기록 ⇒ 설정을 해줘야 기록됨
     제어판 > 시스템 > 고급 시스템 설정 > 시작 및 복구
     
5. 전달된 이벤트
   • 원격 컴퓨터에서 수집된 이벤트 저장
   • 구독 사용 시 전달된 이벤트 로그에 기록

2.2. 응용 프로그램 및 서비스 로그

단일 응용 프로그램이나 구성 요소의 이벤트 저장

3. 로그 필터링

3.1. 이벤트 수준

• 정보 : 응용 프로그램, 드라이버, 서비스가 성공적으로 수행된 경우 기록
• 경고
  • 시스템에 문제가 발생할 수 있는 문제를 미리 알려줌
  • 디스크 공간이 부족 시 발생
• 오류 : 응용 프로그램 또는 구성 요소 외부에 있는 기능에 영향을 줄 수 있는 문제가 발생했음을 나타냄
  • 데이타 손실이나 기능 상실 같은 중대한 문제 발생한 경우
  • 시스템을 시작하는 동안 서비스가 로그되지 못했을 경우
• 위험 : 응용 프로그램 또는 구성 요소가 자동으로 복구할 수 없는 오류가 발생한 경우

3.2. 이벤트 ID

• 4726 : 계정 삭제
• 4624 : 로그인 성공
• 4625 : 로그인 실패
• 5142 : 네트워크 공유 개체가 추가
• 5632 : 무선 네트워크에 인증 요청
• 4689 : 프로토콜 끝냄
• 6005 : 시스템 시작
• 6006 : 시스템 종료

4. 감사 정책

4.1. 정의

• 보안 로그 정책
  보안 이슈에 대해 어떤 정책을 생성, 정책에 따라 이벤트 뷰어에서 확인가능.

4.2. 로컬 정책 > 감사 정책

1) 개체 액세스 감사 (권장값 : 감사안함)

• 객체에 대한 접근 성공/실패 여부를 기록할지 결정하는 항목
• 특정 파일이나 디렉터리, 레지스트리 키, 프린터 같은 객체에 접근을 시도하거나 속성을 변경하려는 것을 탐지
• 대상을 선정하고 접근 권한을 부여하는 것을 개체별로 설정
  (ex. 파일 속성 탭 -> 보안탭)
• 검사안함 : 객체에 대한 접근을 성공하든 실패하든 로그를 기록 안함 ⇒ 안하는 이유는? 너무 많은 로그가 쌓이기 때문에

2) 계정 관리 감사 (권장값 : 실패)

• 계정 관리 이벤트를 감사할지 여부를 결정하는 항목
• 신규 사용자, 그룹의 추가, 기존 사용자의 그룹 변경, 사용자의 활성화/비활성화,
  계정 패스워드 변경 등을 감사
• 사용자의 계정이 잠겨(lock)있더라도 로그가 생성
• 실패 : 계정 관리 이벤트가 실패 했을 때 생성되는 로그

3) 프로세스 추적 감사 (권장값 : 감사안함)

• 프로세스 생성, 종료 , 핸들 복제 및 간접 개체 액세스 같은 프로세스 관련 이벤트를
  감사할지 여부를 결정하는 항목
• 감사안함 : 프로세스가 성공하든 실패하든 검사를 안함

4) 권한 사용 감사 (권장값 : 실패)

• 사용자 권한을 이용하려고 할 때마다 이벤트를 생성 할 지 결정하는 항목
• 권한 설정을 변경할 때나 관리자 권한이 필요한 작업을 수행 시
• 계정을 생성하거나 권한을 변경 시
• 관리자 권한의 작업이 일어날 때 마다 로그가 남기 때문에 많은 로그가 생성
• 실패 : 사용자 권한 사용에 실패 했을 때 생성되는 로그

5) 시스템 이벤트 감사 (권장값 : 감사안함)

• 시스템 시작,종료 & 보안 로그에 영향을 미치는 이벤트를 기록할지를 결정하는 항목
• 시스템의 다시 시작하거나 종료되는 경우
• 보안 로그 삭제 등 시스템의 주요한 사항에 대해
• 검사안함 : 위의 모든 행동에 대해 기록 안함

6) 로그온 이벤트 감사 (권장값 : 성공,실패)

• 로컬계정에 대한 로그온/오프 성공/실패에 대한 이벤트를 기록할지를 결정하는 항목
• 계정 로그온 이벤트 감사와 비슷하나, 로컬 계정의 접근 시 생성되는 이벤트를 감사
• 성공,실패 : 로컬계정에 대한 로그온/오프 하였을때 성공 시 , 실패 시 모두 로그로 기록

7) 계정 로그온 이벤트 감사 (권장값 : 성공,실패)

• 도메인 계정의 로그온 성공/실패 로그를 기록할지를 결정하는 항목
• 성공,실패 : 다른계정이 도메인으로 접속 하였을때 로그인 성공 시와 실패 시 모두 로그로 기록

💡 계정 로그온 과 계정 관리 감사 의 차이
username 는 로컬에서 관리하기 때문에 계정관리 감사
username@naver.com 과 같이 도메인을 타고 오는 경우 도메인 그룹에서 다루기 때문에

8) 정책 변경 감사(권장값 : 성공,실패)

• 감사 정책의 변경 시 성공과 실패 이벤트를 기록할지를 결정하는 항목
• 성공,실패 : 감사 정책의 변경 성공 시 , 실패 시 모두 로그로 기록

9) 디렉터리 서비스 액세스 감사(권장값 : 실패)

• 액티브 디렉터리의 SACL(시스템 액세스 제어 목록)에 있는 사용자가 해당 개체에 액세스를 시도 할 때 이벤트생성 할 지 결정하는 항목
• 실패 : SACL이 있는 액티브 디렉터리의 객체에 실패 했을 때 로그 생성