안녕하세요. 이벤트 로그 감사 정책이 궁금해서 문의 드립니다
Windows 이벤트 로그에 보안 로그가 풀이라는 메시지를 보고 확인한 결과
용량이 500MB로 잡혀 있지만 이벤트 덮어쓰지 않음으로 되어 있어 12시간 정도 있으면 다시 풀이네요
이벤트를 자세히 보면
event id가 4673, 5158, 5156 등의 감사 성공 로그 이며
event id가 5152, 5157 등이 감사 실패 로그 인데
실패시 작업 범주를 보면 필터링 플랫폼 연결 차단과 패킷 삭제 네요
응용프로그램 이름은 모두 \device\harddiskvolume2\windows\system32\svchost.exe
이벤트 로그 수가 80만개 정도 인데 event id가 5152, 5157인 감사 실패 로그가 40만개 정도 찍힌다면 해킹 시도라고 봐도 무방한가요?
그리고 혹시 덮어쓰기를 해도 무방 할까요? 아니면 용량을 더 늘려 로그 추이를 봐야 할까요?
서버는 windows server 2012 r2 버전입니다.
선배님들 의견 부탁드립니다.