윈도우 서버 보안 로그 삭제 이벤트만 보는 방법

윈도우 서버 보안 로그 삭제 이벤트만 보는 방법을 소개하겠습니다.

 

윈도우 서버에서 삭제 이벤트를 추가하는 설정은

"윈도우 서버 폴더 및 파일 삭제한 계정 로그로 남기는 설정" 포스팅 글을 참고하세요.

https://handyhelper.tistory.com/177

윈도우 서버 폴더 및 파일 삭제한 계정 로그로 남기는 설정

 

 

삭제 이벤트 활성화 이후 "이벤트 뷰어 > Windows 로그 > 보안 탭"에서 확인은 가능합니다.

하지만 보안 탭에는 수많은 이벤트가 발생하여 몇 분 후면 삭제 이벤트의 내용이 덮어 쓰여 찾을 수가 없습니다.

 

시스템 관리자 입장에서 삭제 이벤트만 오랜 시간 남겨놓고 싶을 때에는 아래 설정을 참고해주세요.

본 포스팅은 삭제 이벤트 4663을 중점 관리하기 위해 작성한 글입니다.

 

 

윈도우 검색에 "gpedit.msc" 를 입력하여 로컬 그룹 정책 편집기를 불러옵니다.

gpedit.msc

 

 

특정 감사 설정을 아래와 같이 진행합니다.

로컬 그룹 정책 편집기

 

 

파일 시스템 감사 속성

 

 

이벤트 뷰어  설정 필더링 설정을 진행해 줍니다.

 

컴퓨터 관리 > 시스템 도구 > 이벤트 뷰어 > Windows 로그 > 보안 > 현재 로그 필터링(선택) > 이벤트 원본: Microsoft Windows security auditing 선택 > 이벤트 ID: 4663 입력 > 확인

컴퓨터 관리

 

마지막으로 삭제 기록을 남길 폴더의 감사 설정을 해주어야 합니다.

삭제 기록을 남길 폴더(우클릭) > 보안 탭 > 고급 > 

 

 

감사 > 추가(선택)

 

보안 주체 선택 > 고급

 

 

지금 찾기 > Everyone (선택)

 

 

유형: 모두 > 고급 권한 표시 > 체크: 하위 폴더 및 파일 삭제 / 삭제 > 확인

최고 상단 공유폴더에는 다음과 같은 감사 설정을 꼭 해줘야 해당 폴더를 관리할 수 있습니다.

폴더 감사 설정이 완료되었다면 폴더를 한 개 만들어 삭제 테스트를 해보면 됩니다.

 

보안 이벤트 파일이 덮어 쓰여지는 일이 빈번히 발생하지 않으니 관리 시 누가 데이터를 삭제했는지 확인할 수 있습니다.

 

 

 

* 추가로 이벤트 로그파일 크기 및 데이터 삭제하는 방법도 남겨 놓겠습니다.

 

 이만 포스팅을 마침니다.