그룹 정책을 통한 파일 삭제 이벤트 로그 남기기

파일 서버에서 파일이 삭제 되는 경우 윈도우의 기본 설정에서는
누가 삭제 했는지 알 수가 없어 관리자들이 속터지는 경우가 생길때가 있습니다.

실수로 혹은 악의적으로 파일을 지울 경우 최소한 누군가 지웠는지까지는 확인이 가능한 방법입니다.

솔루션을 도입하면 쉽게 확인이 가능하지만 솔루션 구매 하기가 쉬운일도 아니고 ㅠ
구매하기 위해 보고를 하고 도입할 시간을 생각하면 그냥 쉽고 간단하지한 아래 방법을 사용하시기 바랍니다.

파일이 삭제 되면 이벤트 로그에 생성되는 방법 입니다.

그러나 만약 계정 하나를 여러명이 공용으로 쓴다면 누군지 확인이 불가능 합니다.

설정 방법
1. 탐색기 실행 – 공유된 폴더 – 설정 – 보안 – 고급
공유폴더 설정

2. 감사 – 편집 – 추가
계정추가1

3. Everyone 추가
계정추가2

Windows 2008에서는
파일 폴더 및 파일 삭제 / 삭제 – 성공 / 실패 모두 체크
보안설정1

Windows 2012에서는
타입 – 모두
파일 폴더 및 파일 삭제 / 삭제 – 체크
보안설정2

4. 실행 – gpedit.msc
그룹 정책

5. 검퓨터 구성 – Windows 설정 – 보안 설정 – 로컬 정책 – 감사 정책 – 개체 액세스 감사 – 성공 / 실패 모두 체크
파일 삭제 정책

6. 고급 감사 정책 구성 – 시스템 감사 정책 – 개체 액세스 – 파일 시스템 감사 – 성공 / 실패 모두 체크
고급 파일 삭제 정책

7. 파일을 삭제 후 이벤트 로그를 확인해 보면 아래와 같습니다. ( evnetlog – Windows 로그 – 보안 )
로그가 세개 생성되어있네요
evnetlog

Next
Prev

file_delete_10

file_delete_10

file_delete_10

Next
Prev

솔루션을 도입하여 쉽고 빠르게 확인 할 수는 없지만 그래도 최소한의 장치 정도는 될듯 합니다.

잠깐 테스트 해본 결과 로그가 생성되는 경우는 아래와 같습니다.
1. 파일이 생성 될때
2. 파일이 삭제 될때
3. 파일을 잘래내기 할때(이동) – 삭제 로그가 기록 됩니다.

파일 이동 / 생성이 빈번한 폴더에 설정을 하면 로그가 많이 쌓을 수 있으니 로그 저장 정책을 수정 하시기 바랍니다.

파일서버의 파일이 자주 사라지시는분들은 꼭 설정하셔서 범인을 색출 하시기 바랍니다.
본인이 실수로 지우고 안지웠다고 버럭 버럭 우기시는 분들이 계실땐 따끔하게 혼내주시길 바랍니다. ^^*

이 팁의 원문은 http://start.netwrix.com/how_to_detect_who_deleted_file_from_file_server.html

About SharedIT

SharedIT

Leave a Reply

2 개의 댓글이 있습니다 - "그룹 정책을 통한 파일 삭제 이벤트 로그 남기기"

메일 알림 설정
정렬:   최신 | 오래된 | 추천
전산초보임니다

저희도 파일서버 교체할때가 왓는데 좋은 정보 감사드립니다.

werther20

좋은정보 감사합니다^^~ 요즘 파일서버때문에 골치아팠는데~ㅎㅎ 고맙습니다.ㅎ

wpDiscuz