시스템 모니터링 & 컨트롤/이벤트 로그

이벤트 로그의 상세 속성에 대해 알아보자.

TheShield 2023. 1. 14. 18:15
반응형

1. 이벤트 로그의 경고 타입에 대해서 알아보자.

 

msdn을 참조한다.

Event typeDescription

Error An event that indicates a significant problem such as loss of data or loss of functionality. For example, if a service fails to load during startup, an Error event is logged.
Warning An event that is not necessarily significant, but may indicate a possible future problem. For example, when disk space is low, a Warning event is logged. If an application can recover from an event without loss of functionality or data, it can generally classify the event as a Warning event.
Information An event that describes the successful operation of an application, driver, or service. For example, when a network driver loads successfully, it may be appropriate to log an Information event. Note that it is generally inappropriate for a desktop application to log an event each time it starts.
Success Audit An event that records an audited security access attempt that is successful. For example, a user's successful attempt to log on to the system is logged as a Success Audit event.
Failure Audit An event that records an audited security access attempt that fails. For example, if a user tries to access a network drive and fails, the attempt is logged as a Failure Audit event.

위의 내용대로 보자면 다음과 같다.

 

에러 > 중대한 문제가 발생한 경우에 상당한다, 주로 데이터 분실, 기능적인 결함에 대해 명시한다. 

예를 들어 서비스가 시작하면서 중단되거나 에러 이벤트가 로그되거나 하는 경우

 

경고 > 그러케 중요하지는 않지만, 미래에 문제를 일으킬만한 녀석들, 예를 들면

디스크 용량이 모자라거나 ( 엇,,, 이게 안 중요한건가 ㅋㅋ )

 

정보 : 주로 성공한 정보에 대해서 나온다. 서비스가 잘 로드되거나 하는 등의 정보다

별로 안중요하다.. 그러나 성공한 주변 이벤트를 검색 시에는 유용해보인다. 

문제 발생 당시에 다른 서비스는 성공 했으나? 내 서비스는 실패했을 경우

아 내 서비스가 이상하구나? 라는 추정을 할 수 있고, 반대로 문제 발생 당시에

다른 서비스가 다 실패햇는데 나도 실패했으면, 경고 이벤트를 찾아서 디스크가 모자랐나? 정도를

찾아볼 수 있기 때문이다. 

 

성공 감사 : 이벤트 로그의 특성 중에 하나인 감사 정책 중에, 예를 들어 보안 파일 접근 시에 

해당 감사에 맞게 접근해서 성공하면 찍는다.

 

실패 감사 : 위와 반대의 경우로, 감사 보안 정책이 설정된 경우에 특정 오브젝트 접근 시에 실패하면 발생한다.

아마 악성코드나 문제 있는 경우에 (강제로 시도하거나) 이 감사로그가 찍힐 것이고

반대로 전부 성공했는데 시스템에 문제가 있다면, 그게 더 문제일 수 있다. 레터럴 무브먼트가 여기에 해당한다.

 

즉, 성공 - 성공 - 성공 - 성공 - 성공 전파 후에 마지막에 들켰다면

그건 매우 큰 문제라는 의미다.

 

차라리 성공 - 성공 - 실패 ! 하면 안심이란 소리다. 중간에 레터럴 무브먼트가 차단된거니까. 

 

2. 

 

반응형
저작자표시 비영리 변경금지 (새창열림)