계정 로그온 이벤트
표 1은 계정 로그온 이벤트 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 1: 계정 로그온 이벤트 감사
| 이벤트 ID | 이벤트 설명 |
|
672 |
AS(인증 서비스) 티켓이 성공적으로 발급되어 유효성이 검사되었습니다. |
|
673 |
TGS(Ticket Granting Service) 티켓이 발급되었습니다. TGS는 도메인에 있는 특정 서비스에서 인증을 받을 수 있도록 하는 Kerberos 버전 5 티켓 부여 서비스 TGS에 의해 발급된 티켓입니다. |
|
674 |
보안 사용자가 AS 티켓 또는 TGS 티켓을 갱신했습니다. |
|
675 |
사전 인증이 실패했습니다. 이 이벤트는 사용자가 잘못된 암호를 입력할 때 KDC(키 배포 센터)에서 생성됩니다. |
|
676 |
인증 티켓 요청이 실패했습니다. 이 이벤트는 Windows XP Professional 또는 Windows Server 제품군 제품에서는 생성되지 않습니다. |
|
677 |
TGS 티켓이 발급되지 않았습니다. 이 이벤트는 Windows XP Professional 또는 Windows Server 제품군 제품에서는 생성되지 않습니다. |
|
678 |
계정이 도메인 계정에 성공적으로 매핑되었습니다. |
|
681 |
로그온 실패. 도메인 계정 로그온이 시도되었습니다. 이 이벤트는 Windows XP Professional 또는 Windows Server 제품군 제품에서는 생성되지 않습니다. |
|
682 |
연결이 끊긴 터미널 서버 세션에 사용자가 다시 연결되었습니다. |
|
683 |
사용자가 로그오프하지 않고 터미널 서버 세션과의 연결을 끊었습니다. |
계정 관리 이벤트
표 2는 계정 관리 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 2: 계정 관리 감사 이벤트
| 이벤트 ID | 이벤트 설명 |
|
624 |
사용자 계정이 만들어졌습니다. |
|
627 |
사용자 암호가 변경되었습니다. |
|
628 |
사용자 암호가 설정되었습니다. |
|
630 |
사용자 계정이 삭제되었습니다. |
|
631 |
글로벌 그룹이 만들어졌습니다. |
|
632 |
글로벌 그룹에 구성원이 추가되었습니다. |
|
633 |
글로벌 그룹에서 구성원이 제거되었습니다. |
|
634 |
글로벌 그룹이 삭제되었습니다. |
|
635 |
새 로컬 그룹이 만들어졌습니다. |
|
636 |
로컬 그룹에 구성원이 추가되었습니다. |
|
637 |
로컬 그룹에서 구성원이 제거되었습니다. |
|
638 |
로컬 그룹이 삭제되었습니다. |
|
639 |
로컬 그룹 계정이 변경되었습니다. |
|
641 |
글로벌 그룹 계정이 변경되었습니다. |
|
642 |
사용자 계정이 변경되었습니다. |
|
643 |
도메인 정책이 수정되었습니다. |
|
644 |
사용자 계정이 자동으로 잠겼습니다. |
|
645 |
컴퓨터 계정이 만들어졌습니다. |
|
646 |
컴퓨터 계정이 변경되었습니다. |
|
647 |
컴퓨터 계정이 삭제되었습니다. |
|
648 |
보안이 비활성화된 로컬 보안 그룹이 만들어졌습니다. |
|
649 |
보안이 비활성화된 로컬 보안 그룹이 변경되었습니다. |
|
650 |
보안이 비활성화된 로컬 보안 그룹에 구성원이 추가되었습니다. |
|
651 |
보안이 비활성화된 로컬 보안 그룹에서 구성원이 제거되었습니다. |
|
652 |
보안이 비활성화된 로컬 그룹이 삭제되었습니다. |
|
653 |
보안이 비활성화된 글로벌 그룹이 만들어졌습니다. |
|
654 |
보안이 비활성화된 글로벌 그룹이 변경되었습니다. |
|
655 |
보안이 비활성화된 글로벌 그룹에 구성원이 추가되었습니다. |
|
656 |
보안이 비활성화된 글로벌 그룹에서 구성원이 제거되었습니다. |
|
657 |
보안이 비활성화된 글로벌 그룹이 삭제되었습니다. |
|
658 |
보안이 활성화된 유니버설 그룹이 만들어졌습니다. |
|
659 |
보안이 활성화된 유니버설 그룹이 변경되었습니다. |
|
660 |
보안이 활성화된 유니버설 그룹에 구성원이 추가되었습니다. |
|
661 |
보안이 활성화된 유니버설 그룹에서 구성원이 제거되었습니다. |
|
662 |
보안이 활성화된 유니버설 그룹이 삭제되었습니다. |
|
663 |
보안이 비활성화된 유니버설 그룹이 만들어졌습니다. |
|
664 |
보안이 비활성화된 유니버설 그룹이 변경되었습니다. |
|
665 |
보안이 비활성화된 유니버설 그룹에 구성원이 추가되었습니다. |
|
666 |
보안이 비활성화된 유니버설 그룹에서 구성원이 제거되었습니다. |
|
667 |
보안이 비활성화된 유니버설 그룹이 삭제되었습니다. |
|
668 |
그룹 종류가 변경되었습니다. |
|
684 |
관리 그룹 구성원의 보안 설명자가 설정되었습니다. |
|
685 |
계정 이름이 변경되었습니다. |
디렉터리 서비스 액세스 이벤트
표 3은 디렉터리 서비스 액세스 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 3: 디렉터리 서비스 액세스 이벤트 감사
| 이벤트 ID | 이벤트 설명 |
|
566 |
일반 개체 작업이 발생했습니다. |
로그온 이벤트 감사
표 4는 로그온 이벤트 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 4: 로그온 이벤트 감사
| 이벤트 ID | 로그온 이벤트 감사 |
|
528 |
컴퓨터에 성공적으로 로그온했습니다. |
|
529 |
로그온 실패. 알 수 없는 사용자 이름을 사용하거나 사용자 이름은 알 수 있지만 잘못된 암호를 사용하여 로그온을 시도했습니다. |
|
530 |
로그온 실패. 허용되는 시간을 초과하여 로그온을 시도했습니다. |
|
531 |
로그온 실패. 비활성화된 계정을 사용하여 로그온을 시도했습니다. |
|
532 |
로그온 실패. 사용 기간이 만료된 계정을 사용하여 로그온을 시도했습니다. |
|
533 |
로그온 실패. 지정된 컴퓨터에서 로그온이 허용되지 않은 사용자가 로그온을 시도했습니다. |
|
534 |
로그온 실패. 허용되지 않는 암호 유형으로 로그온을 시도했습니다. |
|
535 |
로그온 실패. 지정된 계정의 암호 사용 기간이 만료되었습니다. |
|
536 |
로그온 실패. Net Logon 서비스가 활성 상태에 있지 않습니다. |
|
537 |
로그온 실패. 다른 이유 때문에 로그온 시도가 실패했습니다. |
|
538 |
로그오프 프로세스가 완료되었습니다. |
|
539 |
로그온 실패. 로그온하려고 할 때 계정이 잠겨 있었습니다. |
|
540 |
네트워크에 성공적으로 로그온했습니다. |
|
541 |
로컬 컴퓨터와 나열된 피어 ID 간에 주 모드 IKE(인터넷 키 교환) 인증이 완료되었거나(보안 연결 설정) 빠른 모드를 통해 데이터 채널이 설정되었습니다. |
|
542 |
데이터 채널이 종료되었습니다. |
|
543 |
주 모드가 종료되었습니다. |
|
544 |
피어가 유효한 인증서를 제공하지 않았거나 서명의 유효성이 검증되지 않았으므로 주 모드 인증이 실패했습니다. |
|
545 |
Kerberos 실패 또는 유효하지 않은 암호로 인해 주 모드 인증이 실패했습니다. |
|
546 |
피어를 인증하지 못했으므로 IKE 보안 연결을 성립하지 못했습니다. 유효하지 않은 데이터가 포함된 패킷이 수신되었습니다. |
|
547 |
IKE 핸드셰이크 중에 오류가 발생했습니다. |
|
548 |
로그온 실패. 트러스트된 도메인에서 가져온 SID(보안 식별자)가 클라이언트의 계정 도메인 SID와 일치하지 않습니다. |
|
549 |
로그온 실패. 포리스트의 인증 중에 트러스트되지 않은 네임스페이스에 해당하는 모든 SID가 걸러졌습니다. |
|
550 |
DoS(서비스 거부) 공격이 발생했을 수 있음을 나타내는 알림 메시지입니다. |
|
551 |
사용자가 로그오프 프로세스를 시작했습니다. |
|
552 |
다른 사용자로 이미 로그온한 상태에서 명시적인 자격 증명을 사용하여 컴퓨터에 성공적으로 로그온했습니다. |
|
682 |
연결이 끊긴 터미널 서버 세션에 사용자가 다시 연결되었습니다. |
|
683 |
사용자가 로그오프하지 않고 터미널 서버 세션과의 연결을 끊었습니다. 참고: 이 이벤트는 사용자가 네트워크를 통해 터미널 서버 세션에 연결되어 있을 때 생성됩니다. 이 이벤트는 터미널 서버에 나타납니다. |
개체 액세스 이벤트
표 5는 개체 액세스 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 5: 개체 액세스 이벤트 감사
| 이벤트 ID | 이벤트 설명 |
|
560 |
이미 존재하는 개체에 대한 액세스가 허가되었습니다. |
|
562 |
개체에 대한 핸들이 닫혔습니다. |
|
563 |
삭제할 목적으로 개체를 열려고 했습니다. |
|
564 |
보호된 개체가 삭제되었습니다. |
|
565 |
이미 존재하는 개체 유형에 액세스가 허가되었습니다. |
|
567 |
핸들과 연결된 사용 권한이 사용되었습니다. |
|
568 |
감사 중인 파일에 대한 하드 링크를 만들려고 시도했습니다. |
|
569 |
권한 부여 관리자의 리소스 관리자가 클라이언트 컨텍스트를 만들려고 시도했습니다. |
|
570 |
클라이언트가 개체에 액세스하려고 시도했습니다. |
|
571 |
권한 부여 관리자 응용 프로그램에 의해 클라이언트 컨텍스트가 삭제되었습니다. |
|
572 |
권한 부여 관리자가 응용 프로그램을 초기화했습니다. |
|
772 |
인증서 관리자가 대기된 인증서 요청을 거부했습니다. |
|
773 |
인증서 서비스에서 다시 제출된 인증서 요청을 받았습니다. |
|
774 |
인증서 서비스에서 인증서를 취소했습니다. |
|
775 |
인증서 서비스에서 인증서 해지 목록(CRL)을 게시하도록 요청받았습니다. |
|
776 |
인증서 서비스에서 CRL을 게시했습니다. |
|
777 |
인증서 요청 확장이 만들어졌습니다. |
|
778 |
하나 이상의 인증서 요청 특성이 변경되었습니다. |
|
779 |
인증서 서비스에서 시스템 종료를 요청받았습니다. |
|
780 |
인증서 서비스 백업이 시작되었습니다. |
|
781 |
인증서 서비스 백업이 완료되었습니다. |
|
782 |
인증서 서비스 복원이 시작되었습니다. |
|
783 |
인증서 서비스 복원이 완료되었습니다. |
|
784 |
인증서 서비스가 시작되었습니다. |
|
785 |
인증서 서비스가 중지되었습니다. |
|
786 |
인증서 서비스의 보안 권한이 변경되었습니다. |
|
787 |
인증서 서비스에서 저장된 키를 검색했습니다. |
|
788 |
인증서 서비스에서 인증서를 데이터베이스로 가져왔습니다. |
|
789 |
인증서 서비스의 감사 필터가 변경되었습니다. |
|
790 |
인증서 서비스에서 인증서 요청을 받았습니다. |
|
791 |
인증서 서비스에서 인증서 요청을 승인했으며 인증서를 발행했습니다. |
|
792 |
인증서 서비스에서 인증서 요청을 거부했습니다. |
|
793 |
인증서 서비스에서 인증서 요청 상태를 대기 중으로 설정했습니다. |
|
794 |
인증서 서비스의 인증서 관리자 설정이 변경되었습니다. |
|
795 |
인증서 서비스에서 구성 항목이 변경되었습니다. |
|
796 |
인증서 서비스의 속성이 변경되었습니다. |
|
797 |
인증서 서비스에서 키를 저장했습니다. |
|
798 |
인증서 서비스에서 키를 가져와서 저장했습니다. |
|
799 |
인증서 서비스에서 Microsoft Active Directory 디렉터리 서비스에 CA(인증 기관) 인증서를 게시했습니다. |
|
800 |
인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다. |
|
801 |
역할 구분이 사용되었습니다. |
정책 변경 이벤트 감사
표 6는 정책 변경 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 6: 정책 변경 이벤트 감사
| 이벤트 ID | 이벤트 설명 |
|
608 |
사용자 권한이 할당되었습니다. |
|
609 |
사용자 권한이 제거되었습니다. |
|
610 |
다른 도메인과의 트러스트 관계가 형성되었습니다. |
|
611 |
다른 도메인과의 트러스트 관계가 제거되었습니다. |
|
612 |
감사 정책이 변경되었습니다. |
|
613 |
IPSec(인터넷 프로토콜 보안) 정책 에이전트가 시작되었습니다. |
|
614 |
IPSec 정책 에이전트가 비활성화되었습니다. |
|
615 |
IPSec 정책 에이전트가 변경되었습니다. |
|
616 |
IPSec 정책 에이전트가 심각한 오류 가능성을 감지했습니다. |
|
617 |
Kerberos 버전 5 정책이 변경되었습니다. |
|
618 |
암호화된 데이터 복구 정책이 변경되었습니다. |
|
620 |
다른 도메인과의 트러스트 관계가 수정되었습니다. |
|
621 |
계정에 시스템 액세스 권한이 부여되었습니다. |
|
622 |
계정에서 시스템 액세스 권한이 제거되었습니다. |
|
623 |
사용자 기준으로 감사 정책이 설정되었습니다. |
|
625 |
사용자 기준으로 감사 정책이 새로 고쳐졌습니다. |
|
768 |
한 포리스트의 네임스페이스 요소와 다른 포리스트의 네임스페이스 요소 간에 충돌이 감지되었습니다. |
|
769 |
트러스트된 포리스트 정보가 추가되었습니다. |
|
770 |
트러스트된 포리스트 정보가 삭제되었습니다. |
|
771 |
트러스트된 포리스트 정보가 수정되었습니다. |
|
805 |
이벤트 로그 서비스에서 세션에 대한 보안 로그 구성을 읽었습니다. |
권한 사용 이벤트
표 7는 권한 사용 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 7: 권한 사용 이벤트
| 이벤트 ID | 이벤트 설명 |
|
576 |
지정된 권한이 사용자 액세스 토큰에 추가되었습니다. |
|
577 |
권한이 있는 시스템 서비스 작업을 수행하려고 했습니다. |
|
578 |
보호된 개체에 대해 이미 열린 핸들에서 권한이 사용되었습니다. |
세부 추적 이벤트
표 8는 프로세스 추적 감사 보안 템플릿 설정에 의해 생성되는 보안 이벤트를 보여 줍니다.
표 8: 프로세스 추적 이벤트 감사
| 이벤트 ID | 이벤트 설명 |
|
592 |
새 프로세스를 만들었습니다. |
|
593 |
프로세스를 끝냈습니다. |
|
594 |
개체에 대한 핸들이 중복되었습니다. |
|
595 |
개체를 간접적으로 액세스할 수 있습니다. |
|
596 |
데이터 보호 마스터 키가 백업되었습니다. |
|
597 |
복구 서버에서 데이터 보호 마스터 키가 복구되었습니다. |
|
598 |
감사 가능 데이터가 보호되었습니다. |
|
599 |
감사 가능 데이터가 보호 해제되었습니다. |
|
600 |
프로세스에 기본 토큰이 할당되었습니다. |
|
601 |
사용자가 서비스를 설치하려고 시도했습니다. |
|
602 |
스케줄러 작업이 만들어졌습니다. |
시스템 이벤트 감사
표 9는 시스템 이벤트 감사 보안 템플릿 설정에 의해 생성되는 시스템 이벤트를 보여 줍니다.
표 9: 시스템 이벤트 감사
| 이벤트 ID | 이벤트 설명 |
|
512 |
Windows를 시작하고 있습니다. |
|
513 |
Windows를 종료하고 있습니다. |
|
514 |
LSA(로컬 보안 기관)가 인증 패키지를 로드했습니다. |
|
515 |
신뢰할 수 있는 로그온 프로세스가 로컬 보안 권한으로 등록되었습니다. |
|
516 |
보안 이벤트 메시지 대기열에 할당된 내부 리소스가 없으므로 일부 보안 이벤트 메시지가 손실됩니다. |
|
517 |
감사 로그가 삭제되었습니다. |
|
518 |
보안 계정 관리자가 알림 패키지를 로드했습니다. |
|
519 |
프로세스에서 클라이언트를 가장하고 응답을 보내거나 클라이언트 주소 공간에서 읽거나 쓰려고 할 때 잘못된 LPC(로컬 프로시저 호출) 포트를 사용하고 있습니다. |
|
520 |
시스템 시간이 변경되었습니다. |
