위협 및 대책
6장: 이벤트 로그
업데이트 날짜: 2005년 12월 27일
이벤트 로그에는 컴퓨터의 이벤트가 기록되며 보안 로그에는 감사 이벤트가 기록됩니다. 그룹 정책의 이벤트 로그 컨테이너는 최대 로그 크기, 각 로그에 대한 액세스 권한, 보존 설정 및 방법과 같이 응용 프로그램, 보안 및 시스템 이벤트 로그와 관련된 특성을 정의하는 데 사용됩니다. 이 설명서에 포함된 Microsoft Excel 통합 문서 "Windows Default Security and Services Configuration"(Windows 기본 보안 및 서비스 구성)에서 기본 이벤트 로그 설정을 확인할 수 있습니다.
이 페이지에서
이벤트 로그 설정
그룹 정책 개체 편집기의 다음 위치에서 이벤트 로그 설정을 구성할 수 있습니다.
컴퓨터 구성\Windows 설정\보안 설정\이벤트 로그\이벤트 로그 설정
최대 이벤트 로그 크기
이 정책 설정은 응용 프로그램, 보안 및 시스템 이벤트 로그의 최대 크기를 지정합니다. 그룹 정책 개체 편집기와 MMC(Microsoft Management Console) 이벤트 뷰어 스냅인의 UI(사용자 인터페이스)에서는 모두 최대 4GB의 값을 입력할 수 있지만 특정 요인을 고려 및 적용하면 이러한 로그의 최대 크기를 효율적인 방식으로 훨씬 작게 유지할 수 있습니다.
이벤트 로그 서비스는 메모리 매핑된 파일을 사용하며 Eventlog.dll과 마찬가지로 Services.exe 프로세스에서 서비스 중 하나로 실행됩니다. 파일을 이 방법으로 로드하면 전체 파일이 컴퓨터의 메모리에 로드됩니다. Microsoft Windows의 모든 최신 버전에는 메모리 매핑된 파일과 관련하여 프로세스의 메모리 매핑된 파일 합계가 1GB를 넘을 수 없다는 구조적 제한이 있습니다. 따라서 Services.exe 프로세스에서 실행 중인 모든 서비스가 1GB 풀을 공유해야 합니다. 메모리는 연속되는 64KB 부분에 할당되며 컴퓨터가 메모리 매핑된 파일을 확장하기 위한 추가 메모리를 할당할 수 없는 경우 문제가 발생합니다.
이벤트 로그 서비스의 경우 메모리 매핑된 파일을 사용하면 최대 이벤트 로그 크기 설정에 지정되어 있는 메모리 양에 관계없이 컴퓨터에 메모리 매핑된 파일이 사용할 수 있는 메모리가 더 이상 없으면 로그 이벤트가 로그에 더 이상 기록되지 않습니다. 이러한 경우 오류 메시지는 표시되지 않으며 이벤트가 이벤트 로그에 표시되지 않거나 이전에 기록된 다른 이벤트를 덮어씁니다. 또한 메모리 내에서 로그 파일이 조각화되어 사용 중인 컴퓨터에 심각한 성능 문제가 발생합니다.
메모리 매핑된 파일에 이론적으로 적용되는 제한은 이와 다르며 이벤트 뷰어 및 그룹 정책 개체 편집기 UI에서는 로그당 4GB를 지정할 수 있지만, 이와 같은 제한 사항으로 인해 실제로 대부분의 서버에 적용되는 제한은 약 300MB인 것으로 확인되었습니다. 즉, 모든 이벤트 로그를 합한 값에 대해 300MB의 크기가 허용된다는 것입니다. 따라서 Microsoft Windows XP, 구성원 서버 및 독립 실행형 서버에서 응용 프로그램, 보안 및 시스템 이벤트 로그를 합한 크기는 300MB를 초과할 수 없습니다. 도메인 컨트롤러에서는 이 세 로그에 Active Directory 디렉터리 서비스, DNS 및 복제 로그를 합한 크기가 300MB를 초과할 수 없습니다.
이와 같은 제한으로 인해 일부 Microsoft 고객의 경우 문제가 발생했습니다. 그러나 이 제한을 없애려면 시스템 이벤트가 기록되는 방식을 근본적으로 변경할 수밖에 없습니다. Microsoft에서는 다음 버전의 Windows에서는 이러한 문제를 해결하기 위해 현재 이벤트 로그 시스템을 다시 작성하고 있습니다.
특정 서버에 가장 적합한 로그 크기를 결정할 수 있는 간단한 공식은 없지만, 적절한 크기를 계산할 수는 있습니다. 각 로그 내에서 이벤트가 차지하는 공간은 평균적으로 최대 500바이트이며 로그 파일 크기는 64KB의 배수여야 합니다. 조직의 각 로그 유형에 대해 매일 생성되는 이벤트의 평균 수를 계산하면 각 로그 파일 유형의 적합한 크기를 확인할 수 있습니다.
예를 들어 보안 로그에서 파일 서버가 5,000개의 이벤트를 매일 생성하는 경우 최소한 4주 동안의 데이터를 항상 사용할 수 있도록 하려면 로그 크기를 약 70MB로 구성하면 됩니다. (500바이트 * 5,000이벤트/일 * 28일 = 70,000,000바이트). 그리고 나서 다음 4주 동안 계산한 값이 적절하며 로그에 필요한 만큼의 이벤트가 유지되는지 서버를 수시로 확인합니다. 이벤트 로그 크기 및 로그 배치는 조직의 보안 계획을 디자인할 때 결정한 비즈니스 및 보안 요구 사항에 맞게 정의해야 합니다.
최대 이벤트 로그 크기에 사용할 수 있는 값은 다음과 같습니다.
- 사용자가 정의한 64에서 4,194,240 사이의 값(KB)으로 64의 배수
보안 문제
조직에서 감사할 개체 수를 크게 늘리면 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용하는 경우 보안 로그의 최대 용량에 도달하여 컴퓨터가 종료될 수 있습니다. 이러한 상황에서 컴퓨터가 종료되면 관리자가 보안 로그를 지울 때까지 컴퓨터를 사용할 수 없습니다. 컴퓨터가 종료되지 않도록 하려면 5장 "보안 옵션"에 설명되어 있는 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용할 수 없도록 설정하고 보안 로그 크기를 늘리면 됩니다. 또는 https://support.microsoft.com/default.aspx?kbid=312571의 Microsoft 기술 자료 문서 "The event log stops logging events before reaching the maximum log size"(최대 로그 크기에 도달하기 전에 이벤트 로그가 이벤트 기록을 중지함)에 설명되어 있는 것과 같이 자동 로그 순환을 구성할 수 있습니다.
대책
합법적인 사용자가 자신의 작업에 책임을 지고, 무단으로 수행되는 작업을 검색 및 추적하며, 컴퓨터 문제를 검색하여 진단할 수 있도록 조직에 있는 모든 컴퓨터에서 합리적인 로그 크기 정책을 사용해야 합니다.
잠재적 영향
이벤트 로그의 용량이 다 차면 컴퓨터에서 최신 항목이 가장 오래된 항목을 덮어쓰도록 각 로그의 보관 방법을 설정한 경우가 아니면 로그에 더 이상 정보가 기록되지 않습니다. 최신 데이터가 손실되지 않도록 하려면 오래된 이벤트를 필요에 따라 덮어쓰도록 보관 방법을 구성하면 됩니다.
이렇게 구성하면 오래된 이벤트가 로그에서 제거됩니다. 그러나 이렇게 구성하는 경우 공격자가 이를 악용하여 불필요한 이벤트를 많이 생성하여 공격의 증거를 덮어쓸 수 있습니다. 이벤트 로그 데이터 보관 및 백업을 자동화하면 이러한 위험은 다소 줄어듭니다.
특수하게 모니터링되는 모든 이벤트를 MOM(Microsoft Operations Manager) 또는 기타 자동화된 모니터링 도구를 사용하는 서버로 보내는 것이 가장 좋습니다. 이와 같은 구성은 공격자가 보안 로그를 지워 서버를 손상시키려는 경우 특히 중요합니다. 모든 이벤트를 모니터링 서버로 보내면 공격자의 활동에 대한 법적 정보를 수집할 수 있습니다.
이벤트 로그에 로컬 Guest 그룹 액세스 제한
이 정책 설정은 Guest의 응용 프로그램, 보안 및 시스템 이벤트 로그 액세스 가능 여부를 지정합니다.
이벤트 로그에 로컬 Guest 그룹 액세스 제한 설정에 사용할 수 있는 값은 다음과 같습니다.
사용
사용 안 함
정의되지 않음
참고: 이 정책 설정은 로컬 컴퓨터 정책 개체에는 나타나지 않습니다.
이 정책 설정은 Windows 2000 이상 버전을 실행하는 컴퓨터에만 영향을 줍니다.
보안 문제
Guest 권한으로 컴퓨터에 로그온한 공격자는 이벤트 로그를 확인할 수 있는 경우 컴퓨터에 대한 중요한 정보를 파악할 수 있습니다. 그러면 공격자는 이 정보를 사용하여 추가 공격을 구현할 수 있습니다.
대책
세 이벤트 로그의 정책에 대해 모두 이벤트 로그에 로컬 Guest 그룹 액세스 제한 설정을 사용합니다.
잠재적 영향
없음: 기본 구성입니다.
이벤트 로그 보관 기간
이 정책 설정은 로그에 대해 지정된 보관 방법이 일인 경우 응용 프로그램, 보안 및 시스템 로그에 대해 이벤트 로그 데이터를 보관할 기간(일)을 결정합니다. 예약된 간격으로 로그를 보관하는 경우에만 이 설정을 구성하고 최대 로그 크기가 해당 간격을 수용하기에 충분히 큰지 확인합니다.
이벤트 로그 보관 기간 설정에 사용할 수 있는 값은 다음과 같습니다.
사용자가 정의한 1에서 365 사이의 일 수
정의되지 않음
참고: 이 정책 설정은 로컬 컴퓨터 정책 개체에는 나타나지 않습니다.
감사 및 보안 로그 관리 사용자 권한이 할당되어 있는 사용자만이 보안 로그에 액세스할 수 있습니다.
보안 문제
예약된 간격으로 로그를 보관하는 경우 다음을 실행하십시오.
해당 정책의 속성 대화 상자를 엽니다.
응용 프로그램 로그 보관 기간 설정에 적절한 일 수를 지정합니다.
이벤트 로그 보관 방법으로 매일 이벤트 덮어쓰기를 선택합니다.
또한 최대 로그 크기가 해당 간격을 수용하기에 충분히 큰지 확인합니다.
대책
세 이벤트 로그의 정책에 대한 이벤트 로그 보관 기간 설정을 모두 정의되지 않음으로 구성합니다.
잠재적 영향
없음: 기본 구성입니다.
이벤트 로그 보관 방법
이 정책 설정은 응용 프로그램, 보안 및 시스템 로그의 배치 방법을 결정합니다.
응용 프로그램 로그를 보관하지 않으려면 다음을 실행하십시오
해당 정책의 속성 대화 상자를 엽니다.
이 정책 설정 정의 확인란을 선택합니다.
필요한 경우 이벤트 덮어쓰기를 클릭합니다.
예약된 간격으로 로그를 보관하려면 다음을 실행하십시오.
해당 정책의 속성 대화 상자를 엽니다.
이 정책 설정 정의 확인란을 선택합니다.
매일 이벤트 덮어쓰기를 클릭합니다.
응용 프로그램 로그 보관 기간 설정에 적절한 일 수를 지정합니다. 최대 로그 크기가 해당 간격을 수용하기에 충분히 큰지 확인합니다.
로그에 모든 이벤트를 보관해야 하는 경우에는 다음을 실행하십시오.
해당 정책의 속성 대화 상자를 엽니다.
이 정책 설정 정의 확인란을 선택합니다.
**이벤트 덮어쓰지 않음(수동으로 로그 지우기)**을 클릭합니다.
이 옵션을 선택하면 로그를 수동으로 지워야 합니다. 이 구성을 사용하는 경우 최대 로그 크기에 도달하면 새 이벤트는 무시됩니다.
이벤트 로그 보관 방법 설정에 사용할 수 있는 값은 다음과 같습니다.
매일 이벤트 덮어쓰기
필요한 경우 이벤트 덮어쓰기
이벤트 덮어쓰지 않음(수동으로 로그 지우기)
정의되지 않음
참고: 이 정책 설정은 로컬 컴퓨터 정책 개체에는 나타나지 않습니다.
보안 문제
조직에서 감사할 개체 수를 크게 늘리면 보안 로그의 용량 한계에 도달하여 컴퓨터가 종료될 수 있습니다. 이러한 상황에서 컴퓨터가 종료되면 관리자가 보안 로그를 지울 때까지 컴퓨터를 사용할 수 없습니다. 컴퓨터가 종료되지 않도록 하려면 5장 "보안 옵션"에 설명되어 있는 감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 설정을 사용할 수 없도록 설정하고 보안 로그 크기를 늘리면 됩니다.
이벤트 로그 보관 방법을 수동이나 매일 이벤트 덮어쓰기로 설정하면 중요한 최근 이벤트가 기록되지 않거나 DoS 공격이 발생하는 경우가 있습니다.
대책
세 이벤트 로그에 대한 보관 방법을 모두 필요한 경우 이벤트 덮어쓰기 옵션으로 구성합니다. 일부 리소스의 경우 이 설정을 수동으로 구성하는 것이 좋지만 그렇게 하면 대부분의 조직에서는 관리 부담이 너무 커집니다.
중요한 모든 이벤트를 MOM 또는 기타 자동화된 모니터링 도구를 사용하는 모니터링 서버로 보내는 것이 가장 좋습니다.
잠재적 영향
이벤트 로그의 용량이 다 차면 컴퓨터에서 최신 항목이 가장 오래된 항목을 덮어쓰도록 보관 방법을 설정한 경우가 아니면 로그에 더 이상 정보가 기록되지 않습니다.
이벤트 로그에 액세스 위임
Microsoft Windows Server™ 2003에서는 컴퓨터의 각 이벤트 로그에 대한 사용 권한을 사용자 지정할 수 있습니다. 이는 이전 버전의 Windows에서는 사용할 수 없었던 새로운 기능입니다. 일부 조직에서는 IT 팀의 일부 구성원에 대해 시스템 이벤트 로그 중 하나 이상에 대해 읽기 전용 액세스만 허용하고자 할 수 있습니다. ACL(액세스 제어 목록)은 다음 예제와 같이 레지스트리의 각 이벤트 로그에 대해 "CustomSD"라는 REG_SZ 값에 SDDL(Security Descriptor Definition Language) 문자열로 저장됩니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD
Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)
(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)
(A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)
이 값을 편집한 다음 컴퓨터를 다시 시작하여 새 설정을 적용할 수 있습니다.
주의: 레지스트리 편집기 도구에는 "실행 취소" 기능이 없으므로 레지스트리 값을 편집할 때는 주의하십시오. 실수로 잘못 편집하는 경우에는 수동으로 수정해야 합니다. 또한 이벤트 로그에서 ACL을 잘못 구성하여 해당 로그에 아무도 액세스하지 못하게 되는 경우도 있습니다. 그러므로 작업을 진행하기 전에 각 이벤트 로그에 대한 기본 권한과 SDDL을 완벽하게 이해해야 합니다. 또한 프로덕션 환경에서 변경 내용을 구현하기 전에는 반드시 철저하게 테스트해야 합니다.
Windows Server 2003에서 이벤트 로그의 보안을 구성하는 방법에 대한 자세한 내용은 https://support.microsoft.com/default.aspx?kbid=323076의 "How to: Set Event Log Security Locally or by Using Group Policy in Windows Server 2003"(Windows Server 2003에서 로컬로 또는 그룹 정책을 사용하여 이벤트 로그 보안을 설정하는 방법)을 참조하십시오.
SDDL에 대한 자세한 내용은 MSDN(https://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/ security/security_descriptor_definition_language.asp)의 "Security Descriptor Definition Language (영문)"에 있는 백서를 참조하십시오.
추가 정보
다음 링크에서는 Windows Server 2003 및 Windows XP의 이벤트 로깅에 대한 자세한 내용을 확인할 수 있습니다.
Windows Server 2003에서 이벤트 로그의 보안을 구성하는 방법에 대한 자세한 내용은 https://support.microsoft.com/default.aspx?kbid=323076의 "How to: Set Event Log Security Locally or by Using Group Policy in Windows Server 2003"(Windows Server 2003에서 로컬로 또는 그룹 정책을 사용하여 이벤트 로그 보안을 설정하는 방법)을 참조하십시오.
SDDL에 대한 자세한 내용은 MSDN Online(https://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/ security/security_descriptor_definition_language.asp)의 "Security Descriptor Definition Language (영문)"에 있는 백서를 를 참조하십시오.
다운로드
업데이트 알림
사용자 의견