Windows 2016 Datacenter Server에서 파일 및 폴더 삭제를 모니터링하고 싶습니다. 이미 다음 설명이 포함된 이벤트 ID 4663 및 이벤트 ID 4659를 모니터링하고 있습니다.
4659: "삭제할 목적으로 객체에 대한 핸들이 요청되었습니다."
4663: "개체에 접근하려고 했습니다."
나는 "액세스" 개체에 "DELETE"가 있는 이벤트만 필터링합니다. 그러나 모니터링되는 이벤트에 추가하는 것이 논리적인 또 다른 이벤트 ID가 있는 것 같습니다.
4660: "개체가 삭제되었습니다"
온라인에서 읽은 내용에 따르면 개체를 삭제하면 이 이벤트와 이벤트 4663이 모두 트리거됩니다. 그리고 "이 이벤트는 개체 이름을 제공하지 않으므로 4663과 함께 모니터링해야 합니다."
내 질문은 다음과 같습니다. 이미 이벤트 4663을 모니터링하고 있는데 이벤트 4660을 모니터링해야 할 이유가 있나요? 객체 삭제에만 관심이 있으므로 이러한 이벤트에 대한 다른 정보는 삭제됩니다. 반면, 이벤트 4660이 모니터링되지 않으면 삭제 이벤트를 놓칠 수도 있습니까?
도움을 주셔서 감사합니다
답변1
ManageEngine 문서 대신 이 이벤트에 대한 Microsoft 문서를 살펴보겠습니다.여기에서 찾아보세요.
요약: 객체가 삭제되면 4663이 항상 기록되므로 일반적으로 4660을 무시할 수 있습니다. 그러나 개체 이름이 바뀌면 4663이 표시될 수도 있지만 개체가 삭제되면 이벤트 ID 4660만 표시됩니다.
단점은 이벤트 4660에 개체 이름이 포함되어 있지 않고 4663 이벤트와 상관 관계를 지정하는 데 필요한 핸들 ID만 포함되어 있다는 것입니다.
대부분의 사람들은 4663 이벤트를 모니터링하는 것만으로도 괜찮습니다.