336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

계정 로그온 이벤트

표 1은 계정 로그온 이벤트 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 1: 계정 로그온 이벤트 감사

이벤트 ID 이벤트 설명

672

AS(인증 서비스) 티켓이 성공적으로 발급되어 유효성이 검사되었습니다.

673

TGS(Ticket Granting Service) 티켓이 발급되었습니다. TGS는 도메인에 있는 특정 서비스에서 인증을 받을 수 있도록 하는 Kerberos 버전 5 티켓 부여 서비스 TGS에 의해 발급된 티켓입니다.

674

보안 사용자가 AS 티켓 또는 TGS 티켓을 갱신했습니다.

675

사전 인증이 실패했습니다. 이 이벤트는 사용자가 잘못된 암호를 입력할 때 KDC(키 배포 센터)에서 생성됩니다.

676

인증 티켓 요청이 실패했습니다. 이 이벤트는 Windows XP Professional 또는 Windows Server 제품군 제품에서는 생성되지 않습니다.

677

TGS 티켓이 발급되지 않았습니다. 이 이벤트는 Windows XP Professional 또는 Windows Server 제품군 제품에서는 생성되지 않습니다.

678

계정이 도메인 계정에 성공적으로 매핑되었습니다.

681

로그온 실패. 도메인 계정 로그온이 시도되었습니다. 이 이벤트는 Windows XP Professional 또는 Windows Server 제품군 제품에서는 생성되지 않습니다.

682

연결이 끊긴 터미널 서버 세션에 사용자가 다시 연결되었습니다.

683

사용자가 로그오프하지 않고 터미널 서버 세션과의 연결을 끊었습니다.

계정 관리 이벤트

표 2는 계정 관리 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 2: 계정 관리 감사 이벤트

이벤트 ID 이벤트 설명

624

사용자 계정이 만들어졌습니다.

627

사용자 암호가 변경되었습니다.

628

사용자 암호가 설정되었습니다.

630

사용자 계정이 삭제되었습니다.

631

글로벌 그룹이 만들어졌습니다.

632

글로벌 그룹에 구성원이 추가되었습니다.

633

글로벌 그룹에서 구성원이 제거되었습니다.

634

글로벌 그룹이 삭제되었습니다.

635

새 로컬 그룹이 만들어졌습니다.

636

로컬 그룹에 구성원이 추가되었습니다.

637

로컬 그룹에서 구성원이 제거되었습니다.

638

로컬 그룹이 삭제되었습니다.

639

로컬 그룹 계정이 변경되었습니다.

641

글로벌 그룹 계정이 변경되었습니다.

642

사용자 계정이 변경되었습니다.

643

도메인 정책이 수정되었습니다.

644

사용자 계정이 자동으로 잠겼습니다.

645

컴퓨터 계정이 만들어졌습니다.

646

컴퓨터 계정이 변경되었습니다.

647

컴퓨터 계정이 삭제되었습니다.

648

보안이 비활성화된 로컬 보안 그룹이 만들어졌습니다.
참고: 공식적인 이름에 SECURITY_DISABLED가 포함되어 있으면 액세스 검사에서 사용 권한을 부여하는 데 이 그룹을 사용할 수 없습니다.

649

보안이 비활성화된 로컬 보안 그룹이 변경되었습니다.

650

보안이 비활성화된 로컬 보안 그룹에 구성원이 추가되었습니다.

651

보안이 비활성화된 로컬 보안 그룹에서 구성원이 제거되었습니다.

652

보안이 비활성화된 로컬 그룹이 삭제되었습니다.

653

보안이 비활성화된 글로벌 그룹이 만들어졌습니다.

654

보안이 비활성화된 글로벌 그룹이 변경되었습니다.

655

보안이 비활성화된 글로벌 그룹에 구성원이 추가되었습니다.

656

보안이 비활성화된 글로벌 그룹에서 구성원이 제거되었습니다.

657

보안이 비활성화된 글로벌 그룹이 삭제되었습니다.

658

보안이 활성화된 유니버설 그룹이 만들어졌습니다.

659

보안이 활성화된 유니버설 그룹이 변경되었습니다.

660

보안이 활성화된 유니버설 그룹에 구성원이 추가되었습니다.

661

보안이 활성화된 유니버설 그룹에서 구성원이 제거되었습니다.

662

보안이 활성화된 유니버설 그룹이 삭제되었습니다.

663

보안이 비활성화된 유니버설 그룹이 만들어졌습니다.

664

보안이 비활성화된 유니버설 그룹이 변경되었습니다.

665

보안이 비활성화된 유니버설 그룹에 구성원이 추가되었습니다.

666

보안이 비활성화된 유니버설 그룹에서 구성원이 제거되었습니다.

667

보안이 비활성화된 유니버설 그룹이 삭제되었습니다.

668

그룹 종류가 변경되었습니다.

684

관리 그룹 구성원의 보안 설명자가 설정되었습니다.
참고: 도메인 컨트롤러에서 60분마다 백그라운드 스레드는 관리 그룹의 모든 구성원(예: 도메인, 엔터프라이즈 및 스키마 관리자)을 검색한 후 구성원에 고정된 보안 설명자를 적용합니다. 이 이벤트는 기록됩니다.

685

계정 이름이 변경되었습니다.

디렉터리 서비스 액세스 이벤트

표 3은 디렉터리 서비스 액세스 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 3: 디렉터리 서비스 액세스 이벤트 감사

이벤트 ID 이벤트 설명

566

일반 개체 작업이 발생했습니다.

로그온 이벤트 감사

표 4는 로그온 이벤트 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 4: 로그온 이벤트 감사

이벤트 ID 로그온 이벤트 감사

528

컴퓨터에 성공적으로 로그온했습니다.

529

로그온 실패. 알 수 없는 사용자 이름을 사용하거나 사용자 이름은 알 수 있지만 잘못된 암호를 사용하여 로그온을 시도했습니다.

530

로그온 실패. 허용되는 시간을 초과하여 로그온을 시도했습니다.

531

로그온 실패. 비활성화된 계정을 사용하여 로그온을 시도했습니다.

532

로그온 실패. 사용 기간이 만료된 계정을 사용하여 로그온을 시도했습니다.

533

로그온 실패. 지정된 컴퓨터에서 로그온이 허용되지 않은 사용자가 로그온을 시도했습니다.

534

로그온 실패. 허용되지 않는 암호 유형으로 로그온을 시도했습니다.

535

로그온 실패. 지정된 계정의 암호 사용 기간이 만료되었습니다.

536

로그온 실패. Net Logon 서비스가 활성 상태에 있지 않습니다.

537

로그온 실패. 다른 이유 때문에 로그온 시도가 실패했습니다.
참고: 로그온 실패의 원인을 알 수 없는 경우도 있습니다.

538

로그오프 프로세스가 완료되었습니다.

539

로그온 실패. 로그온하려고 할 때 계정이 잠겨 있었습니다.

540

네트워크에 성공적으로 로그온했습니다.

541

로컬 컴퓨터와 나열된 피어 ID 간에 주 모드 IKE(인터넷 키 교환) 인증이 완료되었거나(보안 연결 설정) 빠른 모드를 통해 데이터 채널이 설정되었습니다.

542

데이터 채널이 종료되었습니다.

543

주 모드가 종료되었습니다.
참고: 이 문제는 보안 연결 만료 시간 제한(기본값은 8시간임), 정책 변경 또는 피어 종료 등의 원인으로 발생할 수 있습니다.

544

피어가 유효한 인증서를 제공하지 않았거나 서명의 유효성이 검증되지 않았으므로 주 모드 인증이 실패했습니다.

545

Kerberos 실패 또는 유효하지 않은 암호로 인해 주 모드 인증이 실패했습니다.

546

피어를 인증하지 못했으므로 IKE 보안 연결을 성립하지 못했습니다. 유효하지 않은 데이터가 포함된 패킷이 수신되었습니다.

547

IKE 핸드셰이크 중에 오류가 발생했습니다.

548

로그온 실패. 트러스트된 도메인에서 가져온 SID(보안 식별자)가 클라이언트의 계정 도메인 SID와 일치하지 않습니다.

549

로그온 실패. 포리스트의 인증 중에 트러스트되지 않은 네임스페이스에 해당하는 모든 SID가 걸러졌습니다.

550

DoS(서비스 거부) 공격이 발생했을 수 있음을 나타내는 알림 메시지입니다.

551

사용자가 로그오프 프로세스를 시작했습니다.

552

다른 사용자로 이미 로그온한 상태에서 명시적인 자격 증명을 사용하여 컴퓨터에 성공적으로 로그온했습니다.

682

연결이 끊긴 터미널 서버 세션에 사용자가 다시 연결되었습니다.

683

사용자가 로그오프하지 않고 터미널 서버 세션과의 연결을 끊었습니다. 참고: 이 이벤트는 사용자가 네트워크를 통해 터미널 서버 세션에 연결되어 있을 때 생성됩니다. 이 이벤트는 터미널 서버에 나타납니다.

개체 액세스 이벤트

표 5는 개체 액세스 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 5: 개체 액세스 이벤트 감사

이벤트 ID 이벤트 설명

560

이미 존재하는 개체에 대한 액세스가 허가되었습니다.

562

개체에 대한 핸들이 닫혔습니다.

563

삭제할 목적으로 개체를 열려고 했습니다.
참고: 이 이벤트는 Createfile()에 FILE_DELETE_ON_CLOSE 플래그가 지정되어 있을 때 파일 시스템에서 사용됩니다.

564

보호된 개체가 삭제되었습니다.

565

이미 존재하는 개체 유형에 액세스가 허가되었습니다.

567

핸들과 연결된 사용 권한이 사용되었습니다.
참고: 허가된 특정 사용 권한(읽기, 쓰기 등)으로 핸들이 만들어졌습니다. 핸들이 사용될 때 사용된 각 사용 권한에 대해 최대 1개의 감사 이벤트가 생성됩니다.

568

감사 중인 파일에 대한 하드 링크를 만들려고 시도했습니다.

569

권한 부여 관리자의 리소스 관리자가 클라이언트 컨텍스트를 만들려고 시도했습니다.

570

클라이언트가 개체에 액세스하려고 시도했습니다.
참고: 개체에 대해 시도된 모든 작업에 대해 이벤트가 생성됩니다.

571

권한 부여 관리자 응용 프로그램에 의해 클라이언트 컨텍스트가 삭제되었습니다.

572

권한 부여 관리자가 응용 프로그램을 초기화했습니다.

772

인증서 관리자가 대기된 인증서 요청을 거부했습니다.

773

인증서 서비스에서 다시 제출된 인증서 요청을 받았습니다.

774

인증서 서비스에서 인증서를 취소했습니다.

775

인증서 서비스에서 인증서 해지 목록(CRL)을 게시하도록 요청받았습니다.

776

인증서 서비스에서 CRL을 게시했습니다.

777

인증서 요청 확장이 만들어졌습니다.

778

하나 이상의 인증서 요청 특성이 변경되었습니다.

779

인증서 서비스에서 시스템 종료를 요청받았습니다.

780

인증서 서비스 백업이 시작되었습니다.

781

인증서 서비스 백업이 완료되었습니다.

782

인증서 서비스 복원이 시작되었습니다.

783

인증서 서비스 복원이 완료되었습니다.

784

인증서 서비스가 시작되었습니다.

785

인증서 서비스가 중지되었습니다.

786

인증서 서비스의 보안 권한이 변경되었습니다.

787

인증서 서비스에서 저장된 키를 검색했습니다.

788

인증서 서비스에서 인증서를 데이터베이스로 가져왔습니다.

789

인증서 서비스의 감사 필터가 변경되었습니다.

790

인증서 서비스에서 인증서 요청을 받았습니다.

791

인증서 서비스에서 인증서 요청을 승인했으며 인증서를 발행했습니다.

792

인증서 서비스에서 인증서 요청을 거부했습니다.

793

인증서 서비스에서 인증서 요청 상태를 대기 중으로 설정했습니다.

794

인증서 서비스의 인증서 관리자 설정이 변경되었습니다.

795

인증서 서비스에서 구성 항목이 변경되었습니다.

796

인증서 서비스의 속성이 변경되었습니다.

797

인증서 서비스에서 키를 저장했습니다.

798

인증서 서비스에서 키를 가져와서 저장했습니다.

799

인증서 서비스에서 Microsoft Active Directory 디렉터리 서비스에 CA(인증 기관) 인증서를 게시했습니다.

800

인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다.

801

역할 구분이 사용되었습니다.

정책 변경 이벤트 감사

표 6는 정책 변경 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 6: 정책 변경 이벤트 감사

이벤트 ID 이벤트 설명

608

사용자 권한이 할당되었습니다.

609

사용자 권한이 제거되었습니다.

610

다른 도메인과의 트러스트 관계가 형성되었습니다.

611

다른 도메인과의 트러스트 관계가 제거되었습니다.

612

감사 정책이 변경되었습니다.

613

IPSec(인터넷 프로토콜 보안) 정책 에이전트가 시작되었습니다.

614

IPSec 정책 에이전트가 비활성화되었습니다.

615

IPSec 정책 에이전트가 변경되었습니다.

616

IPSec 정책 에이전트가 심각한 오류 가능성을 감지했습니다.

617

Kerberos 버전 5 정책이 변경되었습니다.

618

암호화된 데이터 복구 정책이 변경되었습니다.

620

다른 도메인과의 트러스트 관계가 수정되었습니다.

621

계정에 시스템 액세스 권한이 부여되었습니다.

622

계정에서 시스템 액세스 권한이 제거되었습니다.

623

사용자 기준으로 감사 정책이 설정되었습니다.

625

사용자 기준으로 감사 정책이 새로 고쳐졌습니다.

768

한 포리스트의 네임스페이스 요소와 다른 포리스트의 네임스페이스 요소 간에 충돌이 감지되었습니다.
참고: 한 포리스트의 네임스페이스 요소가 다른 포리스트의 네임스페이스 요소와 중복되면 해당 네임스페이스 요소에 속하는 이름을 확인할 때 명확성이 떨어질 수 있습니다. 이러한 중복 상황을 충돌이라고도 합니다. 각 항목 형식에 대해 모든 매개 변수가 유효한 것은 아닙니다. 예를 들어 DNS 이름, NetBIOS 이름 및 SID 같은 필드는 'TopLevelName' 형식의 항목에는 유효하지 않습니다.

769

트러스트된 포리스트 정보가 추가되었습니다.
참고: 이 이벤트 메시지는 포리스트 트러스트 정보가 업데이트되고 하나 이상의 항목이 추가될 때 생성됩니다. 추가, 삭제 또는 수정된 각 항목에 대해 하나의 이벤트 메시지가 생성됩니다. 포리스트 트러스트 정보를 한 번 업데이트할 때 여러 항목이 추가, 삭제 또는 수정되면 생성된 모든 이벤트 메시지에 작업 ID라고 하는 단일 고유 식별자가 할당됩니다. 따라서 생성된 여러 이벤트 메시지가 단일 작업의 결과라는 사실을 확인할 수 있습니다. 각 항목 형식에 대해 모든 매개 변수가 유효한 것은 아닙니다. 예를 들어 DNS 이름, NetBIOS 이름 및 SID 같은 매개 변수는 'TopLevelName' 형식의 항목에는 유효하지 않습니다.

770

트러스트된 포리스트 정보가 삭제되었습니다.
참고: 이벤트 769의 이벤트 설명을 참고하십시오.

771

트러스트된 포리스트 정보가 수정되었습니다.
참고: 이벤트 769의 이벤트 설명을 참고하십시오.

805

이벤트 로그 서비스에서 세션에 대한 보안 로그 구성을 읽었습니다.

권한 사용 이벤트

표 7는 권한 사용 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 7: 권한 사용 이벤트

이벤트 ID 이벤트 설명

576

지정된 권한이 사용자 액세스 토큰에 추가되었습니다.
참고: 이 이벤트는 사용자가 로그온할 때 생성됩니다.

577

권한이 있는 시스템 서비스 작업을 수행하려고 했습니다.

578

보호된 개체에 대해 이미 열린 핸들에서 권한이 사용되었습니다.

세부 추적 이벤트

표 8는 프로세스 추적 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.

표 8: 프로세스 추적 이벤트 감사

이벤트 ID 이벤트 설명

592

새 프로세스를 만들었습니다.

593

프로세스를 끝냈습니다.

594

개체에 대한 핸들이 중복되었습니다.

595

개체를 간접적으로 액세스할 수 있습니다.

596

데이터 보호 마스터 키가 백업되었습니다.
참고: 마스터 키는 CryptProtectData 및 CryptUnprotectData 루틴과 EFS(암호화 파일 시스템)에서 사용됩니다. 새 마스터 키가 만들어질 때마다 마스터 키가 백업됩니다. 기본 설정은 90일입니다. 이 키는 일반적으로 도메인 컨트롤러에 의해 백업됩니다.

597

복구 서버에서 데이터 보호 마스터 키가 복구되었습니다.

598

감사 가능 데이터가 보호되었습니다.

599

감사 가능 데이터가 보호 해제되었습니다.

600

프로세스에 기본 토큰이 할당되었습니다.

601

사용자가 서비스를 설치하려고 시도했습니다.

602

스케줄러 작업이 만들어졌습니다.

시스템 이벤트 감사

표 9는 시스템 이벤트 감사 보안 템플릿 설정에 의해 생성되는 시스템 이벤트를 보여 줍니다.

표 9: 시스템 이벤트 감사

이벤트 ID 이벤트 설명

512

Windows를 시작하고 있습니다.

513

Windows를 종료하고 있습니다.

514

LSA(로컬 보안 기관)가 인증 패키지를 로드했습니다.

515

신뢰할 수 있는 로그온 프로세스가 로컬 보안 권한으로 등록되었습니다.

516

보안 이벤트 메시지 대기열에 할당된 내부 리소스가 없으므로 일부 보안 이벤트 메시지가 손실됩니다.

517

감사 로그가 삭제되었습니다.

518

보안 계정 관리자가 알림 패키지를 로드했습니다.

519

프로세스에서 클라이언트를 가장하고 응답을 보내거나 클라이언트 주소 공간에서 읽거나 쓰려고 할 때 잘못된 LPC(로컬 프로시저 호출) 포트를 사용하고 있습니다.

520

시스템 시간이 변경되었습니다.
참고: 이 감사는 일반적으로 두 번 나타납니다.

Posted by shunman
,