나는 가장 부적절한 순간에 어떤 멍청한 놈이 중요한 서버를 업데이트하고 재부팅했는지 알아내기 위해 몇 가지 법의학을 수행하고 있습니다. Windows 업데이트를 시작한 사용자 계정을 확인할 수 있는 방법이 있습니까? 특히 Windows Server 2003의 경우.
답변1
제 생각에는 이런 일이 다시 발생하지 않도록 적절한 통제, 이해, 정책을 마련하는 것이 더 중요하다고 생각합니다. 무슨 일이 일어났는지, 왜 잘못된 시간에 잘못된 일을 했는지, 왜 그런 일이 다시는 일어날 수 없는지 등을 전체 관리자 그룹에 알리세요.
기업에서는 실수를 바로잡고 예방하는 데 집중하는 대신 실수가 발생했을 때 피를 흘리는 데 집중하는 경우가 많습니다(상위로부터 범인을 찾으라는 압력을 받을 수도 있음). 너무 많은 비난은 유해한 작업 환경을 조성하고 열악한 작업, 낮은 사기 및 생산성, 높은 이직률로 이어집니다.
답변2
Server 2003 컴퓨터의 경우 시스템 이벤트 로그에서 업데이트 설치 당시 사용자 이름과 관련된 4377 이벤트 묶음을 볼 수 있습니다. 아마도 일부 7035 이벤트(서비스 시작)도 있을 수 있습니다. 이는 보안 이벤트 로그에서 찾을 수 있는 어떤 것보다 더 유용할 수 있습니다.
초보자 중 한 명이 업데이트를 설치했고 다른 한 명이 실수로 재부팅 프롬프트에서 "예"를 클릭했을 수도 있습니다. 그러나 중요한 서버는 프로덕션 시간 동안 업데이트해서는 안 됩니다. 다시 시작이 연기되더라도 업데이트 프로세스 자체로 인해 서비스가 중단될 가능성이 있습니다. 예를 들어 .NET 프레임워크를 사용하는 서비스는 재부팅이 연기되더라도 .NET 업데이트로 인해 중지될 수 있습니다.
나는 이것이 궁극적으로 IT 조직이 시행하고 있는 정책과 통제에 관한 것이라는 @joeqwerty의 평가에 확실히 동의합니다.
답변3
실행 상자에서 windowsupdate.log를 실행하고 IT 사용자의 경우 CTRL+F를 실행하여 알아냈지만 수백 명의 IT 사용자가 있는 대기업에는 반드시 도움이 되지 않지만 내부 팀이 더 작은 소규모 회사의 경우에는 빨랐습니다. 업데이트를 실행한 사람을 찾으려면 다음을 표시합니다("USERNAMEHERE"로 사용자 이름을 제거했습니다:
2016-11-06 09:38:19:591 1020 c40 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:599 1020 15a4 AU All updates already downloaded, setting percent complete to 100
2016-11-06 09:38:21:601 1020 18c0 Handler Attempting to create remote handler process as "USERNAME HERE" in session 3
2016-11-06 09:38:21:794 1020 18c0 DnldMgr Preparing update for install, updateId = {12C7A5E2-8CE1-47F6-9203-202C83A4AEFC}.200.
2016-11-06 09:38:21:858 3692 13e0 Misc =========== Logging initialized (build: 7.6.7600.256, tz: -0000) ===========
2016-11-06 09:38:21:858 3692 13e0 Misc = Process: C:\Windows\system32\wuauclt.exe
2016-11-06 09:38:21:858 3692 13e0 Misc = Module: C:\Windows\system32\wuaueng.dll