감사 레코드의 이벤트 유형을 식별하는 방법

참조 안내서 › 감사 로그 레코드 › 감사 레코드의 이벤트 유형을 식별하는 방법

감사 레코드의 이벤트 유형을 식별하는 방법

감사 레코드의 내용을 이해하려면 먼저 감사 레코드의 이벤트 유형을 식별해야 합니다. 이것은 레코드에 포함되는 데이터가 감사 레코드 작성을 트리거한 이벤트 유형에 따라 달라지기 때문입니다.

참고: 감사 로그 레코드에 대해 표시되는 열의 순서, 개수 및 내용은 감사 로그를 보는 방법에 따라 달라집니다. 일부 필드는 CA ControlMinder 끝점 관리, seaudit 출력 또는 자세한 seaudit 출력에 표시되지 않습니다. seaudit 유틸리티를 사용하는 경우 지정한 옵션에 따라 열의 개수, 순서 및 내용이 결정될 수도 있습니다.

감사 레코드의 이벤트 유형을 식별하려면

CA ControlMinder 끝점 관리에서 감사 레코드를 보는 경우 감사 레코드가 속하는 이벤트 유형이 "감사 레코드 결과" 창의 첫 번째 열에 표시됩니다.
감사 레코드에 대한 추가 정보를 표시하려면 첫 번째 열의 감사 이벤트 유형 링크를 클릭합니다.
seaudit 출력에서 감사 레코드를 보는 경우 이벤트 유형을 확인하려면 자세한 출력(-detail 옵션)을 표시해야 합니다.

이벤트 유형을 식별하고 나면 메시지 정보의 나머지 내용을 해석할 수 있습니다.

예: CA ControlMinder 끝점 관리의 감사 레코드

다음 이미지에서는 CA ControlMinder 끝점 관리가 감사 이벤트를 어떻게 표시하는지를 보여 줍니다.

"감사 레코드 결과" 창에는 표시 필터 기준에 맞는 감사 레코드가 표시됩니다.

예: 기본 seaudit 출력의 감사 레코드

다음 seaudit 출력 조각에서는 seaudit 유틸리티가 기본적으로 감사 이벤트를 어떻게 표시하는지를 보여 줍니다.

19 Dec 2008 16:46:47 P WINSERVICE   TM123VM-AC\Administrator Read     1059  2 VMTools              C:\WINDOWS\system32\services.exe TM123VM-AC
19 Dec 2008 16:46:52 P WINSERVICE   TM123VM-AC\Administrator Read     1059  2 VMTools              C:\WINDOWS\system32\services.exe TM123VM-AC
19 Dec 2008 16:46:53 P LOGIN        TM123VM-AC\Administrator   55  2 TM123VM-AC           C:\WINDOWS\system32\lsass.exe
19 Dec 2008 16:46:57 P WINSERVICE   TM123VM-AC\Administrator Read     1059  2 VMTools              C:\WINDOWS\system32\services.exe TM123VM-AC
19 Dec 2008 16:47:02 P WINSERVICE   TM123VM-AC\Administrator Read     1059  2 VMTools              C:\WINDOWS\system32\services.exe TM123VM-AC
19 Dec 2008 16:47:07 P WINSERVICE   TM123VM-AC\Administrator Read     1059  2 VMTools              C:\WINDOWS\system32\services.exe TM123VM-AC
19 Dec 2008 16:47:12 P WINSERVICE   TM123VM-AC\Administrator Read     1059  2 VMTools              C:\WINDOWS\system32\services.exe TM123VM-AC
19 Dec 2008 16:47:16 S UPDATE       GROUP      TM123VM-AC\Administrator  336  0 test       TM123VM-AC egtest audit-
19 Dec 2008 18:28:18 P LOGIN        TM123VM-AC\Administrator   55 10 TM123VM-AC           selang
19 Dec 2008 18:28:18 S UPDATE       TERMINAL   TM123VM-AC\Administrator  305  0 TM123VM-AC-SC1.ca.com TM123VM-AC er terminal TM123VM-AC-SC1.ca.com

위의 첫 번째 메시지에 대한 자세한 seaudit 출력은 다음과 같습니다.

19 Dec 2008 16:46:47 P WINSERVICE   TW852VM-AC\Administrator Read     1059  2 VMTools              C:\WINDOWS\system32\services.exe TM123VM-AC
Event type: Resource access
Status: Permitted
Class: WINSERVICE
Resource: VMTools
Access: Read
User name: TM123VM-AC\Administrator
User Logon Session ID: 00000000:05647d29
Terminal: TM123VM-AC
Program: C:\WINDOWS\system32\services.exe
Date: 19 Dec 2008
Time: 16:46
Details: Default record universal access check
Audit flags: AC database user