로컬로 또는 그룹 정책 사용하여 이벤트 로그 보안을 설정하는 방법

  • 아티클

Windows Server 2012 이벤트 로그에 대한 보안 액세스 권한을 사용자 지정할 수 있습니다. 이러한 설정은 로컬로 또는 그룹 정책 통해 구성할 수 있습니다. 이 문서에서는 이러한 두 가지 방법을 모두 사용하는 방법을 설명합니다.

적용 대상: Windows Server 2012 Standard, Windows Server 2012 Datacenter
원래 KB 번호: 323076

요약

사용자에게 이벤트 로그에 대한 다음 액세스 권한 중 하나 이상을 부여할 수 있습니다.

  • 읽기
  • 쓰기
  • 지우기

중요

동일한 방식으로 보안 로그를 구성할 수 있습니다. 그러나 읽기 및 지우기 액세스 권한만 변경할 수 있습니다. 보안 로그에 대한 쓰기 액세스는 Windows LSA(로컬 보안 기관)에 대해서만 예약됩니다.

목적을 위해 관리 템플릿 정책을 사용할 수 있습니다. 예를 들어 System Eventlog의 경로는 다음과 같습니다.

컴퓨터 구성\관리 템플릿\Windows 구성 요소\이벤트 로그 서비스\시스템

설정은 로그 액세스를 구성 하고 동일한 SDDL(보안 설명자 정의 언어) 문자열을 사용합니다.

Windows Server 2012 있으면 이 메서드로 이동하는 것이 좋습니다.

로컬로 이벤트 로그 보안 구성

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.

각 로그의 보안은 레지스트리 키 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog의 값을 통해 로컬로 구성됩니다.

예를 들어 애플리케이션 로그 보안 설명자는 다음 레지스트리 값을 통해 구성됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

시스템 로그 보안 설명자는 를 통해 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD구성됩니다.

각 로그에 대한 보안 설명자는 SDDL 구문을 사용하여 지정됩니다. SDDL 구문에 대한 자세한 내용은 플랫폼 SDK를 참조하거나 이 문서의 참조 섹션에 설명된 문서를 참조하세요.

SDDL 문자열을 생성하려면 이벤트 로그와 관련된 세 가지 고유한 권한(읽기, 쓰기 및 지우기)이 있습니다. 이러한 권한은 ACE 문자열의 액세스 권한 필드에 있는 다음 비트에 해당합니다.

  • 1= 읽기
  • 2 = 쓰기
  • 4 = 지우기

다음은 애플리케이션 로그에 대한 기본 SDDL 문자열을 보여 주는 샘플 SDDL입니다. 액세스 권한(16진수)은 다음 그림에 대담하게 표시됩니다.

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

예를 들어 첫 번째 ACE는 익명 사용자가 로그에 대한 읽기, 쓰기 및 지우기 액세스를 거부합니다. 여섯 번째 ACE를 사용하면 대화형 사용자가 로그를 읽고 쓸 수 있습니다.

이벤트 로그의 보안 사용자 지정을 허용하도록 로컬 정책 수정

  1. %WinDir%\Inf\Sceregvl.inf 파일을 알려진 위치에 백업합니다.

  2. 메모장에서 %WinDir%\Inf\Sceregvl.inf를 엽니다.

  3. 파일 가운데로 스크롤한 다음 포인터를 [문자열] 바로 앞에 놓습니다.

  4. 다음 줄을 삽입합니다.

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. 파일의 끝으로 스크롤한 다음 다음 줄을 삽입합니다.

    AppLogSD="이벤트 로그: SDDL(보안 설명자 정의 언어) 구문에서 애플리케이션 로그의 보안을 지정합니다."
    SysLogSD="이벤트 로그: SDDL(보안 설명자 정의 언어) 구문에서 시스템 로그의 보안을 지정합니다."

  6. 파일을 저장한 다음 닫습니다.

  7. 시작을 선택하고 실행을 선택하고 열기 상자에regsvr32 scecli.dll 입력한 다음 Enter 키를 누릅니다.

  8. 성공 scecli.dll DllRegisterServer 대화 상자에서 확인을 선택합니다.

컴퓨터의 로컬 그룹 정책을 사용하여 애플리케이션 및 시스템 로그 보안 설정

  1. 시작을 선택하고 실행을 선택하고 gpedit.msc를 입력한 다음 확인을 선택합니다.
  2. 그룹 정책 편집기에서 Windows 설정을 확장하고 보안 설정을 확장하고 로컬 정책을 확장한 다음 보안 옵션을 확장합니다.
  3. 이벤트 로그: 애플리케이션 로그 SDDL을 두 번 클릭하고 로그 보안에 대해 원하는 SDDL 문자열을 입력한 다음 확인을 선택합니다.
  4. 이벤트 로그: 시스템 로그 SDDL을 두 번 클릭하고 로그 보안에 대해 원하는 SDDL 문자열을 입력한 다음 확인을 선택합니다.

그룹 정책을 사용하여 Active Directory의 도메인, 사이트 또는 조직 구성 단위에 대한 애플리케이션 및 시스템 로그 보안 설정

중요

그룹 정책 편집기에서 이 문서에 설명된 그룹 정책 설정을 보려면 먼저 다음 단계를 완료한 다음 그룹 정책을 사용하여 애플리케이션 및 시스템 로그 보안 설정 섹션을 계속 진행합니다.

  1. 메모장과 같은 텍스트 편집기를 사용하여 %Windir%\Inf 폴더에서 Sceregvl.inf를 엽니다.

  2. [레지스트리 값 등록] 섹션에 다음 줄을 추가합니다.

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. [문자열] 섹션에 다음 줄을 추가합니다.

    AppCustomSD="Eventlog: 애플리케이션 이벤트 로그에 대한 보안 설명자"
    SecCustomSD="Eventlog: 보안 이벤트 로그에 대한 보안 설명자"
    SysCustomSD="Eventlog: 시스템 이벤트 로그에 대한 보안 설명자"
    DSCustomSD="Eventlog: Directory Service 이벤트 로그에 대한 보안 설명자"
    DNSCustomSD="Eventlog: DNS Server 이벤트 로그에 대한 보안 설명자"
    FRSCustomSD="Eventlog: 파일 복제 서비스 이벤트 로그에 대한 보안 설명자"

  4. Sceregvl.inf 파일에 변경한 내용을 저장한 다음 명령을 실행합니다 regsvr32 scecli.dll .

  5. Gpedit.msc를 시작한 다음 다음 분기를 두 번 클릭하여 확장합니다.

    컴퓨터 구성
    Windows 설정
    보안 설정
    로컬 정책
    보안 옵션

  6. 오른쪽 패널을 보고 새 Eventlog 설정을 찾습니다.

그룹 정책을 사용하여 애플리케이션 및 시스템 로그 보안 설정

  1. Active Directory 사이트 및 서비스 스냅인 또는 Active Directory 사용자 및 컴퓨터 스냅인에서 정책을 설정할 개체를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  2. 그룹 정책 탭을 선택합니다.

  3. 새 정책을 만들어야 하는 경우 새로 만들기를 선택한 다음 정책 이름을 정의합니다. 그렇지 않으면 5단계로 이동하세요.

  4. 원하는 정책을 선택한 다음 편집을 선택합니다.

    로컬 그룹 정책 MMC 스냅인이 나타납니다.

  5. 컴퓨터 구성을 확장하고, Windows 설정을 확장하고, 보안 설정을 확장하고, 로컬 정책을 확장한 다음, 보안 옵션을 선택합니다.

  6. 이벤트 로그: 애플리케이션 로그 SDDL을 두 번 클릭하고 로그 보안에 대해 원하는 SDDL 문자열을 입력한 다음 확인을 선택합니다.

  7. 이벤트 로그: 시스템 로그 SDDL을 두 번 클릭하고 로그 보안에 대해 원하는 SDDL 문자열을 입력한 다음 확인을 선택합니다.

참조

SDDL 구문 및 SDDL 문자열을 생성하는 방법에 대한 자세한 내용은 보안 설명자 문자열 형식을 참조하세요.