[윈도우/로그 관리] 이벤트 로그 관리 설정 (W-70)

이벤트 로그 관리 설정

 

취약점 개요

■ 위험도
- 하
■ 점검 목적
- 유사시 책임 추적을 위해 주요 이벤트가 누락되지 않도록 이벤트 로그 파일의 크기 및 보관 기간을 적절하게 유지하기 위함

■ 보안 위협
- 이벤트 로그 파일의 크기가 충분하지 않을 경우 중요 로그가 저장되지 않을 위험이 있으며, 최대 보존 크기를 초과하는 경우 자동으로 덮어씀으로써 중 요 로그의 손실의 우려가 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : 최대 로그 크기 “10,240KB 이상”으로 설정, “90일 이후 이벤트 덮어씀” 을 설정한 경우
- 취약 : 최대 로그 크기 “10,240KB 미만”으로 설정, 이벤트 덮어씀 기간이 “90일 이하”로 설정된 경우

■ 조치 방법
- 최대 로그 크기 “10,204KB”, “90일 이후 이벤트 덮어씀” 설정

■ 점검 및 조치 사례
Windows NT
Step 1) 프로그램> 관리 도구> 이벤트 표시기> 로그> 로그 설정
Step 2) 최대 로그 크기 → 10240KB
다음 이전의 이벤트 겹쳐 씀 → 90일

Windows 2000, 2003, 2008, 2012, 2016, 2019
Step 1) 시작> 실행> EVENTVWR.MSC> 해당 로그> 속성> 일반
Step 2) 최대 로그 크기 → 10240KB
최대 로그 크기에 도달할 때: 다음보다 오래된 이벤트 덮어쓰기 → 90일

[Windows 2000, 2003]

 

[Windows 2008, 2012, 2016, 2019]

※ Windows 2008, 2012, 2016, 2019 서버의 경우 덮어쓰기 날짜 지정 불가능

■ 스크립트

echo. W-70 START
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo [ W-70 "이벤트 로그 관리 설정" ]                                                                  >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo. # 응용프로그램 확인 #                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
reg query "HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application" | find /I "MaxSize"     >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
reg query "HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application" | find /I "Retention"   >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo. # 시스템 확인 #                                                                               >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
reg query "HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System" | find /I "MaxSize"          >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
reg query "HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System" | find /I "Retention"        >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo. # 보안 확인 #                                                                                >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
reg query "HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security" | find /I "MaxSize"        >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
reg query "HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security" | find /I "Retention"      >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt 2>&1
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo W-70 END                                                                                   >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo ======================================================================================     >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt
echo.                                                                                           >>	[RESULT]_%COMPUTERNAME%_WINSVR.txt