이벤트 로그에 대한 그룹 정책 설정

이벤트 로그에 대한 그룹 정책 설정

Windows 7 및 Windows XP 클라이언트가 있는 Windows Server 2008 R2 Standard Edition 도메인 컨트롤러에서 파일에 대해 아래 설정을 유지해도 "괜찮습니까" Event Log?

GPMGMT 스크린샷

그리고 어떤 설정이 적용되나요? Maximum log size1GB와 중 Retain Log to 30 days어느 것이 우선적으로 적용되나요?

답변1

아니요, 로그를 그렇게 설정하면 안 됩니다.둘 다적용됩니다. Event Logs최대 크기는 ~1GiB입니다 .그리고이벤트는 30일 후에 덮어쓰기됩니다. 아마도 이는 로그가 최대 크기에 도달하기 훨씬 전에 30일마다 계속 덮어쓰기 때문에 로그가 최대 크기에 도달하지 않는다는 것을 의미합니다. (모든 항목에 대한 매우 자세한 로깅이 없으면 30일 안에 로그로 GiB를 채울 수 있습니다.)

일별 보존은 설명에서 알 수 있듯이 매일 로그를 보관하는 경우에만 유용합니다 x. 왜냐하면 서버 이벤트 로그에는 보관된 복사본에 없는 이벤트만 포함되기 때문입니다. 당신이 질문을 했다는 사실은 당신이 그런 상황에 처할 가능성이 거의 없다는 것을 말해줍니다.

대신, 로그 파일을 [아마도] Retention method으로 설정하고 설정을 정의되지 않은 Overwrite event as needed상태로 두어야 합니다 retain [type] log. 최대 크기에 도달하면 시스템 시작을 방지하는 대신 가장 오래된 이벤트를 덮어씁니다.

일별 로그 보존에 대한 설명

그런데 제공된 설명과 기타 문서를 읽어야 합니다. 대개는 더 잘 알지 못한다는 이유로 자신의 발을 쏘는 것을 방지하기 위해 명시적으로 정확하게 존재합니다.

답변2

Joe의 답변이 자신감 있고 잘 쓰여졌을지라도 저는 정말로 그를 믿고 싶었지만 그가 틀렸다고 생각합니다. 나는 돌아가서 이러한 GPO 항목에 대한 설명을 주의 깊게 다시 읽었습니다. '보안로그 보관'과 '보존방법'이 명확해졌네요. . ' GPO 항목은 보관된 로그 파일 자체(이벤트 로그 속성에서 "가득 차면 로그 보관, 이벤트 덮어쓰지 않음"을 선택할 때 생성됨)가 아닌 이벤트(로그의 개별 행 항목)를 명확하게 대상으로 합니다.

일정에 따라 로그를 수동으로(또는 프로그래밍 방식으로) 보관하지만 로그로 이동하여 수동으로 지울 필요가 없다면 물론 각 보관/처리 후에 '새로 시작'하기를 원할 것입니다. 백업. 따라서 '보존 보안 로그'의 설명은 '보존할 이벤트의 일수를 결정합니다...'입니다. 및 '보존 방법의 '로그에 대한 "래핑' 방법"'은 아카이브가 아닌 이벤트에 대해 이야기하고 있습니다.

답변3

"필요에 따라 덮어쓰기" 위해 로그를 남겨 두라고 권장한 사람에게는 전혀 관심을 기울이지 마십시오. 그것은 끔찍하고 끔찍한 조언입니다. 파라, 당신은 올바른 길을 가고 있습니다. 그 설정은 괜찮습니다. 이벤트 로그의 파일 크기 지정이 허용됩니다. 30일 보존 정책도 괜찮습니다. 그러나 전적으로 조직의 보존 정책에 따라 달라집니다.

끔찍한 조언을 하는 사람들은 보존 방법 설정이 "활성" 이벤트 로그 파일에 영향을 주지 않는다는 사실을 깨닫지 못합니다. 이는 이벤트 로그의 보관된 복사본인 "보관된" 이벤트 로그에만 영향을 미칩니다. 이벤트 로그가 지정된 용량에 도달하면 Windows는 이벤트 로그의 복사본을 만들고 "보관"이라는 레이블을 붙인 다음 활성 이벤트 로그 파일이 지워집니다. 보존 정책은 보관된 이벤트 로그 파일에만 영향을 미칩니다. 드라이브 용량에 주의를 기울여야 합니다. 시스템이 생성하는 로그 수에 따라 이벤트 로그가 있는 드라이브를 빠르게 채울 수 있습니다. 별도의 대용량 드라이브를 지정하고 해당 드라이브에 보관된 이벤트의 백업 작업을 실행하는 것이 가장 좋습니다.

이벤트 로그를 덮어쓰는 것은 주요 보안 문제입니다.

관련 정보