우리는 파일을 생성하는 웹 사이트를 가지고 있는데, 이 파일은 폴더에 저장되고 파일을 다른 서버(내 설계가 아님)에 복사하는 다른 프로세스에 의해 퍼집니다.
우리 프로덕션 환경에서 이동은 매분 실행되는 예약된 작업에 의해 수행됩니다. 이 작업은 배치 파일을 호출하고 실제로 파일을 이동하는 Powershell 스크립트를 호출합니다(다시 말하지만 제 설계는 아닙니다).
이제 질문은:
웹사이트는 UAT 환경에서도 동일하게 구성되어 있습니다. 파일은 폴더에 삭제된 다음 이동됩니다. 하지만 그 상자에는 예약된 작업이 없으며 실제로 어떤 프로세스가 파일을 이동하는지 확인하는 데 엄청난 시간을 보내고 있습니다.
폴더와 동일한 시스템에서 실행되지 않을 수도 있습니다. 어떤 프로세스가 파일을 이동하고 있는지 또는 적어도 어떤 시스템이 파일을 이동하고 있는지 어떻게 확인할 수 있습니까?
답변1
이동된 파일의 경로 또는 파일 이름이 있는 파일 시스템 항목에 대해 SysInternals 프로세스 모니터 및 필터를 사용할 수 있습니다. 로컬 프로세스인 경우 이를 공개해야 합니다. 로컬 프로세스가 아닌 경우 "시스템" 또는 이와 유사한 항목에 의해 파일이 이동되는 것을 볼 수 있습니다.
아쉽게도 이동이 일어나는 순간 프로세스 모니터를 실행해야 하는데, 프로세스 모니터가 다소 무거워서 문제를 해결하는 동안 전체 서버가 어려움을 겪을 수 있습니다.
파일이 원격 프로세스에 의해 이동되는 경우 SysInternals PsFile 또는 유사한 유틸리티를 사용하여 해당 파일에 액세스하는 사람을 확인할 수 있습니다.
SysInternals 홈:https://technet.microsoft.com/en-us/sysinternals/default
답변2
해당 파일과 디렉터리("폴더")에 대한 보안 감사 로깅을 통해 이를 수행할 수 있습니다.
먼저 gpedit.msc관리자 권한으로 그룹 정책( )을 실행하세요. 왼쪽 창에서 컴퓨터 구성 | 윈도우 설정 | 보안 설정 | 지역 정책 | 감사 정책. 오른쪽 창에서 "객체 액세스 감사"와 "프로세스 추적 감사"를 모두 성공 시 활성화하도록 설정합니다. (실패에 대한 감사에는 별 의미가 없습니다. 액세스 시도가 실패해도 파일 이동이 발생하지 않기 때문입니다!)
또는 - Windows 7 이상을 실행하는 경우 다음 방법으로 수행하도록 선택할 수 있습니다. 왼쪽 창에서 컴퓨터 구성 | 윈도우 설정 | 보안 설정 | 고급 감사 정책 | 시스템 감사 정책. 성공하려면 "상세 추적"에서 "프로세스 생성 감사"를 활성화하십시오. 성공하려면 "개체 액세스"에서 "파일 시스템 감사"를 활성화하십시오. 이 방법을 사용하면 이벤트 로그에 가짜 항목이 다소 적게 생성됩니다. 참고: "고급 감사 정책"에서 "구성되지 않음" 이외의 항목으로 설정된 경우 여기와 설명된 덜 세부적인 "감사 정책" 모두에서 설정을 지정하여 여기에서도 후속 변경을 수행하는 것이 좋습니다. 이전 단락에서는 이상한 결과가 나올 수 있습니다.
다음: 탐색기에서 이동 소스 디렉터리로 이동합니다. 디렉터리를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택한 다음 보안 탭을 선택한 다음 "고급"을 클릭합니다(가장 유용한 것은 항상 "고급" 탭이나 버튼 아래에 있습니다...). "감사" 탭을 클릭한 다음 "계속", "추가"를 차례로 클릭하세요. 결과 대화 상자는 "권한 목록"에 항목을 추가하기 위한 대화 상자와 유사하게 보이지만 이 경우 생성한 항목은 표시된 작업이 감사되도록 결정합니다. 즉, 감사 로그 항목이 생성됩니다. 그들을 위해.
"주체"의 경우 "모든 사람" 그룹을 사용합니다. "유형"의 경우 아마도 "성공"만 원할 것입니다(다시 말하지만, 실패한 시도는 분명히 어떤 파일도 이동하지 않습니다). "적용 대상:" "이 폴더, 하위 파일 및 파일"을 선택합니다. "고급 권한"을 모두 선택하세요.
대상 디렉터리에 대해 반복합니다.
문제의 파일이 소스 디렉터리에 이미 존재하는 경우 해당 파일이 있는 디렉터리가 아닌 해당 파일에 대해서만 감사를 활성화할 수 있습니다(단, 대상 디렉터리에 대해서도 활성화).
해당 수준에서 감사를 활성화한 경우 디렉터리 또는 파일에 대한 모든 성공적인 액세스 시도는 이제 보안 로그에 반영됩니다.
감사 항목을 보려면 컴퓨터 관리, 시스템 도구 |이벤트 뷰어, Windows 로그로 이동하여 보안 로그를 선택하세요. 파일/디렉터리 액세스에 대한 로그 항목을 프로세스 생성 항목과 연관시킵니다.
감사 항목이 이벤트 뷰어에 표시되는 데 1~2분 정도 걸리는 경우가 많습니다. 새로 고침을 몇 번 사용하는 것을 두려워하지 마십시오.
nb: "객체 액세스"(파일 포함)에 대한 보안 감사 로그 항목은 객체가 있었던 시간만 나타냅니다.열었다액세스를 위해 실제로 작동된 시간이 아니라 특정 작업이 아닙니다.
예를 들어 누군가가 읽기 및 쓰기 액세스를 위해 파일을 열면 감사 항목이 생성됩니다. 파일에 대한 후속 실제 읽기 및 쓰기 작업은 다음과 같습니다.~ 아니다감사 항목을 생성합니다. 그리고 파일이 실제로 기록되었는지 여부를 감사 로그에서 알 수는 없으며 쓰기를 허용하는 방식으로 열렸다는 것만 알 수 있습니다. 이러한 세부 정보를 얻으려면 Mike Nakis가 설명한 대로 프로세스 모니터를 사용해야 합니다.