원격 종료.

Question

wevtutil cl특정 이벤트 로그를 지울 수 있습니다. 원격 시스템에서 이를 사용하려면 PsExec과 같은 것을 사용해야 합니다. 또한 shutdown명령이 실행되는 시점과 시스템이 실제로 종료되는 시점 사이의 짧은 시간 내에 로그를 지워야 합니다 .

그러나 이벤트 로그를 지우면 시스템 로그에 새 이벤트가 생성됩니다. 해당 이벤트는 어떤 로그가 지워졌는지, 누가 지웠는지 알려줍니다. 물론 사용자는 SYSTEM마치 PsExec을 사용하는 것처럼 나타날 수 있지만 이벤트는 보는 사람의 눈살을 찌푸리게 할 것입니다. 이런 일이 여러 번 발생하면 대상 컴퓨터의 소유자가 사용자를 잡기 위해 어떤 형태의 감사를 설정할 것이라고 확신합니다.

특히 프로세스에서 중요할 수 있는 로그도 삭제한다는 점을 고려하면 이렇게 해야 할 타당한 이유가 없다고 생각됩니다. 후회할 일은 하지 마세요.

Answer 1

wevtutil cl특정 이벤트 로그를 지울 수 있습니다. 원격 시스템에서 이를 사용하려면 PsExec과 같은 것을 사용해야 합니다. 또한 shutdown명령이 실행되는 시점과 시스템이 실제로 종료되는 시점 사이의 짧은 시간 내에 로그를 지워야 합니다 .

그러나 이벤트 로그를 지우면 시스템 로그에 새 이벤트가 생성됩니다. 해당 이벤트는 어떤 로그가 지워졌는지, 누가 지웠는지 알려줍니다. 물론 사용자는 SYSTEM마치 PsExec을 사용하는 것처럼 나타날 수 있지만 이벤트는 보는 사람의 눈살을 찌푸리게 할 것입니다. 이런 일이 여러 번 발생하면 대상 컴퓨터의 소유자가 사용자를 잡기 위해 어떤 형태의 감사를 설정할 것이라고 확신합니다.

특히 프로세스에서 중요할 수 있는 로그도 삭제한다는 점을 고려하면 이렇게 해야 할 타당한 이유가 없다고 생각됩니다. 후회할 일은 하지 마세요.

원격 종료.

답변1

관련 정보