it-swarm-ko.tech

Windows Server 2008의 이벤트 로그에서 특정 이벤트를 제거하려면 어떻게해야합니까?

이를 위해 타사 도구가 필요합니까?

21
JC.

Microsoft는 의도적으로이 작업을 수행하지 못하게합니다. 이벤트 뷰어의 전체 개념은주의가 필요한 특정 이벤트를 사용자에게 제공하는 것입니다. 임의의 이벤트가 발생하여 삭제할 수있는 경우 시스템은 사용자 모르게 손상 될 수 있으므로 안전하지 않을 수 있습니다.

오류 이벤트가 기록 된 경우 문제점의 원인을 찾아서 수정하십시오. 당신은 구멍에 껌 뭉치를 붙여서 댐에 구멍을 뚫고 싶지 않습니다.

정보 또는주의 이벤트를 너무 자주 로깅하는 경우 이벤트 로그 소스 (Microsoft 또는 타사)가 애플리케이션에 대해 얼마나 자주 또는 어떤 수준의 로깅이 구성되는지를 나타내는 설정이 여러 번 있습니다. 이벤트 로그에서 수술을 수행하는 것이 아니라 로깅을 최소화하는 곳입니다.

18
mrTomahawk

OP의 게시물이 유효합니다. 로깅, 오류보고 및 경고와 관련된 가장 큰 문제는 백색 잡음입니다. 너무 많은 "오류"가보고되고 이들 중 대부분이 우선 순위가 낮거나 전혀 염려되지 않으면 관리자는 모든 오류를 무시하는 경향이 있습니다. 좋든 나쁘 든, 이것은 단지 인생의 사실입니다.

그가 말하는 오류 중 하나는 (제 생각에는) 이벤트 ID 1111입니다. 이는 단순히 연결된 서버에서 사용할 수없는 드라이버로 프린터를 매핑했음을 의미합니다. 대부분의 경우 걱정하지 않는 오류입니다. 문제가 아니기 때문에 "수정"할 것은 없습니다.

실제 문제를 찾고 싶지만 특정 이벤트 ID를 사용하지 않아도 되려면 다음 단계를 사용하여 사용자 정의보기를 작성하십시오.

  1. 이벤트 로그의 작업 창에서 "필터 현재 로그"를 클릭하십시오.
  2. 대화 상자가 반쯤 내려 오면 <All Event IDs>
  3. 이 텍스트를 필터 요구로 바꾸십시오.
    • 특정 이벤트 만 원하는 경우 해당 이벤트 ID를 입력하십시오.
    • 배수가 여러 개인 경우 쉼표를 사용하여 구분하십시오.
    • 제외하려면 빼기 기호를 사용하십시오.
    • 이 경우 "-1111"을 사용합니다 (물론 따옴표 제외).
  4. 대화 상자에서 "확인"을 클릭하십시오.
  5. 작업 창에서 "필터를 사용자 정의보기에 저장"을 클릭하십시오.

이제 이벤트 로그를 보려는 경우 사용자 정의보기를 사용하면 실제로 관심있는 정보 만 표시됩니다.

나는 이것이 죽은 쓰레드에 늦게 게시 된 게시물이라는 것을 알고 있지만, "[의도 된대로 작동, n00b!]";-)

35
Chad Patrick

Windows에서 할 수있는 유일한 것은 전체 로그를 지우는 것입니다. 이 작업을 수행한다고 주장하는 타사 응용 프로그램을 하나만 발견했습니다 .- Winzapper , 그러나 나는 그것을 사용한 적이 없으며 NT 및 2000에 대한 것이므로 서버 2003에서 작동하는지 알 수 없습니다. 2008. 이벤트 로그를 사용할 때 이벤트 로그가 손상 될 수 있으므로주의해서 밟으십시오.

4
Sam Cogan

문제를 해결할 수있는 것은 그룹 정책에서 감사 정책을 변경하는 것입니다. 구체적으로 표시하고 싶지 않은 것을 알지 못하면 설정이 있는지 확실하지 않지만 여기에 예가 있습니다.

GPMC에서 컴퓨터 구성-Windows 설정-보안 설정-로컬 정책-감사 정책을 드릴 다운하십시오. 여기에는 세부적인 톤이 없지만 로그를 채우는 것을 제거 할 수 있습니다. (내 DC는 2008이 아니므로 2003 AD 관점에서 얻은 것이므로 완전히 다르지 않기를 바랍니다)

1
Kara Marfia

Windows 이벤트 로그에서 개별 로그 항목을 삭제하는 방법은 지원되지 않습니다. 이것은 여러 가지 매우 좋은 이유로 의도적으로 설계되었습니다.

원하지 않는 로그 항목을 처리하는 가장 좋은 방법은 응용 프로그램 내에서 적절하게 생성되는 이벤트를 처리하는 것입니다. 또한 기록되는 각 메시지에 대해 적절한 로그 수준 (예 : 자세한 정보, 경고, 오류 및 치명적 오류)을 선택하는 것은 필터링하기 쉬운 로그를 제공하는 데 중요한 구성 요소입니다. 일부 로깅 프레임 워크는 반복되는 동일한 이벤트를 하나의 로그 항목으로 롤업하는 기능도 제공합니다.

불행히도, 나는 주요 컴퓨터 보안 개념에 대한 기본적인 이해가 부족한 것으로 보이는 사람들의 의견을 많이 보았습니다. 로그의 이벤트 , 특히 보안 이벤트 로그 는 이유로 변경할 수 없습니다. 보안 이벤트 로그의 이벤트가 삭제 될 수있는 경우 잘못된 텍스트 상자에 입력했기 때문에 로그에 누군가의 암호를 두는 것보다 컴퓨터의 보안이 훨씬 떨어집니다. 훌륭한 OS 설계자는 사람들이 실수를 저지르고 사용자 암호가 보안 이벤트 로그에 나타날 수 있음을 알고 있습니다. 보안 이벤트 로그가 관리자 만 볼 수있는 이유 중 하나입니다.

그러나 보안 로그에서 개별 이벤트를 삭제하는 기능을 제공하면 공격자가 전체 로그를 지우는 것이 제공되는 유일한 삭제 유형 작업 인 경우보다 찾기가 훨씬 어려운 방식으로 활동을 숨길 수 있습니다. 적절한 예로 OWASP (Open Web Application Security Project) 사이트의 Error Handling, Auditing and Logging 페이지에있는 Cover Tracks 섹션을 참조하십시오.

표지 트랙

로깅 메커니즘 공격의 최우수상은 "이벤트가 발생하지 않은 것처럼"세부적인 수준에서 로그 항목을 삭제하거나 조작 할 수있는 경쟁자에게 있습니다. 침입자는 루트킷의 침입 및 배포를 통해 알려진 로그 파일의 조작을 지원하거나 자동화 할 수있는 특수 도구를 활용할 수 있습니다. 대부분의 경우 로그 파일은 루트/관리자 권한이있는 사용자 또는 승인 된 로그 조작 응용 프로그램을 통해서만 조작 할 수 있습니다. 일반적으로, 로깅 메커니즘은 공격자가 탐지되지 않고 상당한 시간 동안 트랙을 숨길 수 있으므로 세부적인 수준에서 조작을 방지하는 것을 목표로해야합니다. 간단한 질문; 침입자에 의해 손상을 입었다면, 로그 파일이 비정상적으로 크거나 작거나 다른 일별 로그처럼 보이는 경우 침입이 더 분명합니까?

또한 시스템에 대한 관리 액세스 권한이있는 사람은 처음부터 세부 사항에 대해 더 높은 수준의주의와주의를 기울여야한다고 주장합니다. 그 중 일부는 수행되는 작업을 다시 확인하고 실수로 인한 실수로부터 보호하기 위해 일반적인 대화 상자를 읽는 것을 멈추는 것입니다.

또한보십시오:

0
JamieSee