배움나눔

출처 : http://www.snoopybox.co.kr/1629

Active 모드 - 클라이언트가 서버에 접속하면서 DataChannel로 사용할 포트를 서버에 알려주면, 서버가 클라이언트의 해당 포트로 접속하는 방식

Passive 모드 - 클라이언트가 서버에 접속하면, 서버가 DataChannel로 사용할 포트를 클라이언트에 알려주고, 클라이언트는 다시 서버의 해당 포트로 접속하는 방식

설명이 허접해서 이해가 잘 안 되실 수도 있는데, 어쨌든 Active 모드는 서버가 클라이언트로 접속하는 조금 어색한 구조로 되어 있어서 여러가지 문제가 많으므로(특히 방화벽), 일반적으로 Passive 모드를 많이들 사용하실 것입니다.

그런데 이 Passive 모드에도 문제가 있습니다. 바로 NAT 환경일 때 문제가 발생합니다.(Active도 마찬가지) 그러니까 서버가 내부에서 사용하는 사설 IP와 실제로 외부에서 접속하는 공인 IP가 따로 존재하는 경우 문제가 발생합니다. 예를 들어 공유기를 사용하는 환경이라면 그렇고, 회사에서도(특히 클라우드 환경이라면) 비슷한 상황이 많이 발생할 것입니다.

무슨 말인지 잘 이해가 안 되실 수도 있으니, 실제 제 환경을 가지고 설명드리겠습니다.

회사에서 집에 있는 파일 서버로 FTP Passive 모드 접속을 시도한 경우

1. 회사 노트북에서 윈도우 탐색기 주소창에 ftp://175.197.xxx.xxx 를 입력했다.
2. 그랬더니 집에 있는 파일 서버가 반응을 하고 계정 정보를 묻는 창을 띄웠다.
3. 계정 정보를 입력했다.
4. 집에 있는 파일 서버가 192.168.0.3 IP의 55246 포트로 접속하라는 정보를 보냈다.
5. 하지만 회사 노트북은 192.168.0.3 IP의 55246 포트로 접속할 수 없다. 그래서 아무것도 안 보인다.

문제의 원인이 어디에 있는지 아시겠죠? 문제는 두가지입니다.

첫째는 집에 있는 파일 서버가 192.168.0.3 이라는 사설 IP를 알려줬다는 점이고
둘째는 55246 포트로 접속하라고 알려줬다는 점입니다.

첫번째 문제는 파일 서버가 회사 노트북한테 공인 IP를 알려주도록 설정해주면 해결될 것이고
두번째 문제는 공유기에서 55246 포트를 파일 서버로 포트포워딩 해주면 해결될 것입니다.

그런데 55246 포트는 1024 - 65535 사이에서 랜덤하게 생성된 포트입니다. 그러니까 Passive 모드로 접속시 서버는 DataChannel로 사용할 포트를 랜덤하게 정해서 알려줍니다. 따라서 공유기에서 파일 서버에 DMZ 설정을 걸어주든지, 아니면 Passive 모드에서 사용할 DataChannel의 특정 포트 범위를 한정해주고, 해당 범위를 공유기에서 포트포워딩 해주시면 되겠습니다.

이제 실전에 들어가겠습니다.

IIS에서 FTP 방화벽 지원 설정으로 들어가보시면

데이터 채널 포트 범위와 방화벽의 외부 IP 주소 설정하는 부분이 있습니다. 데이터 채널 포트 범위는 기본값 0-0으로 그냥 두신다면 1024 - 65535 범위를 사용하게 되므로, 공유기에서 DMZ 설정을 하시거나 또는 1024 - 65535 포트를 전부 포트포워딩 시켜줘야 합니다. 보안상 별로 안 좋으니 특정 범위를 지정해봅시다. 저는 예로 나온 5000-6000 범위를 지정하겠습니다.

그리고 방화벽의 외부 IP 주소 부분에 공인 IP 주소를 넣어주세요. 가장 중요한 부분이라 할 수 있습니다. Passive 모드에서 사설 IP를 알려주면 클라이언트가 접속을 못 하니까요.

값을 넣으셨다면 오른쪽에 있는 적용 버튼 눌러주시면 되구요.

그런데 이놈의 FTP 방화벽 지원 설정이 좀 거시기합니다. 방화벽의 외부 IP 주소 부분은 바로 적용이 되는데, 데이터 채널 포트 범위는 바로 적용되지 않습니다. FTP 서비스를 한번 재시작 해줘야 적용이 됩니다.

services.msc 들어가서 Microsoft FTP Service를 재시작 한번 해주시거나 아니면 관리자 권한으로 커맨드 창을 띄워서 아래 명령어로 서비스를 재기동 해주시면 되겠습니다.

net stop ftpsvc
net start ftpsvc

다음은 공유기의 포트포워딩 설정 부분인데 이 부분은 각자 사용하는 기종이 다르니 제가 설명하기 좀 그렇겠죠? 아무튼 저는 파일 서버에 5000-6000 포트를 포워딩 시켜주겠습니다. (21번 포트는 당연히 포워딩 해주셨겠죠 ^^;;)

마지막으로 윈도우 방화벽 부분을 생각해볼 필요가 있는데, 그냥 FTP 자체를 예외처리 해주시면 됩니다.

명령어로 하시려면 아래와 같이 하시면 됩니다.

netsh advfirewall firewall add rule name="FTP" service=ftpsvc action=allow protocol=TCP dir=in

이상입니다. 다시 과정을 정리하자면

1. IIS에서 FTP 방화벽 지원 설정
2. FTP 서비스 재기동하기
3. 공유기에서 포트포워딩 설정
4. 윈도우 방화벽 예외 처리

이렇게 작업해주시면 FTP Passive 모드 문제는 해결될 것입니다.

출처 : http://www.snoopybox.co.kr/1634

댓글로 알려주신 분이 계셔서 소개해드립니다. 좋은 프로그램 소개해주셔서 감사드립니다.

그동안 상용 프로그램인 Active@ Password Changer를 제외하곤 전부 Brute Force 방식인줄 알고 있었는데, 이 프로그램도 Active@ Password Changer와 마찬가지로 C:\Windows\System32\config\SAM 레지스트리 하이브의 바이너리 값을 수정하는 방식이더군요. 게다가 GPL 기반의 무료 프로그램이기 때문에 회사에서도 부담없이 사용할 수 있습니다.

Offline NT Password & Registry Editor
http://pogostick.net/~pnh/ntpasswd/

다운로드

cd110511.iso

usb110511.zip

위에 있는 ISO 버전은 CD로 이미지레코딩 하셔서 사용하시면 되고, 아래에 있는 USB 버전은 USB에 심어서 사용하시면 됩니다. USB에 심는 방법은 안에 설명서가 영어로 들어있는데, USB에 압축파일을 풀어서 넣고 커맨드 창을 열어서 아래와 같이 입력하시면 된다고 합니다. (USB 드라이브가 J 드라이브인 경우 예제)

j:\syslinux.exe -ma j:

사용법은 리눅스랑 영어의 기초 정도만 알고 계시면 전혀 어렵지 않습니다. 대부분의 단계는 그냥 엔터만 쳐도 잘 진행됩니다. 저는 부가적인 옵션에 대한 설명은 생략하고 패스워드 복구에 중점을 두고 설명을 드리겠습니다.

일단 테스트를 위해 snoopy 계정의 패스워드를 1234로 설정하였습니다. 이상태로 CD를 넣고 재부팅 하겠습니다.

위 화면에서는 그냥 엔터를 입력하시면 됩니다. 리눅스 커널에 부팅 옵션을 선택해서 줄 수 있는데 특별한 경우가 아니라면 기본 부팅으로도 문제가 없을 것입니다.

윈도우가 설치된 파티션을 선택하는 화면인데요, 저는 sda1 파티션에 윈도우가 설치되어 있기 때문에 1번을 선택했습니다. sda1에서 sd는 스카시, 사타 하드 등을 의미하고 a는 첫번째 하드 1은 첫번째 파티션을 의미합니다. 그리고 IDE 방식의 하드는 hda1 이런 식으로 나올 겁니다.

참고로 Select 뒤에 [1] 이렇게 되어 있는데, 이 말은 그냥 엔터만 치면 1번이 기본값으로 입력된다는 의미입니다. 리눅스 사용해보신 분들은 잘 아시겠죠.

레지스트리 하이브 위치를 선택하는 화면인데요, SAM 파일은 당연히 Windows\System32\config 폴더에 존재할 것이기 때문에 그냥 엔터 치시면 됩니다.

패스워드 리셋 작업을 할 것이니 1번을 선택하시거나 그냥 엔터 치시면 됩니다.

여기서도 1번을 선택하시거나 그냥 엔터 치시면 됩니다.

패스워드를 리셋시킬 계정을 선택하는 화면입니다. 그냥 엔터 치시면 Administrator 계정의 패스워드를 편집합니다. 저는 snoopy 계정의 패스워드를 리셋시킬 것이기 때문에 snoopy를 입력하겠습니다. 참고로 RID 값을 입력해도 됩니다. 저는 snoopy 계정의 RID 값인 03e9를 입력해도 되는데, 그냥 계정 이름을 입력하는게 더 편리하겠죠?

1번을 입력하면 패스워드를 리셋 시켜버립니다. (패스워드를 없앤다는 의미)
2번을 입력하면 패스워드를 재설정 할 수 있는데 별로 추천하고 싶지는 않네요.
3번을 입력하면 선택했던 계정을 Administrators 그룹에 등록시킵니다.
4번을 입력하면 계정이 잠겨있거나 비활성화 된 경우 풀어줍니다.
저는 1번을 눌러서 패스워드를 없애버렸습니다.

Password cleared! 라고 나왔네요. 작업이 잘 되었습니다.
더 변경할 계정이 있다면 다시 계정 이름을 입력하시면 되고, 작업이 끝났다면 느낌표를 입력해주세요.

q를 입력해서 빠져나가주시구요

y를 입력해서 변경 사항을 적용시켜 주세요.

n을 입력해서 밖으로 빠져나가겠습니다.

밖으로 빠져나온 모습입니다. CD나 USB를 뽑으시고 reboot 입력하시면 재부팅 됩니다.


어떤가요? 이제 패스워드를 분실해도 걱정할 필요가 없겠죠? 용량이 4.48MB 밖에 안되서 CD에 굽기 아까울 수도 있는데, 이정도 훌륭한 무료 프로그램이라면 DVD 한장에 구워놔도 아깝지 않을 것 같습니다. ^^

출처 : http://snoopybox.co.kr/trackback/1635

윈도우 서버 64비트 계열에서 메모리 사용률이 비정상적으로 높게 나타난다면, 시스템 파일 캐시를 의심해보시기 바랍니다. 이 시스템 파일 캐시는 작업 관리자나 리소스 모니터에서 확인할 수 없기 때문에 처음 겪어보시는 분들은 도무지 원인을 찾아내기 힘들 것입니다.

일단 이 내용과 관련해서 관심있는 분은 아래 글을 한번 읽어보세요.

Microsoft Windows Dynamic Cache Service
http://blogs.msdn.com/b/ntdebugging/archive/2009/02/06/microsoft-windows-dynamic-cache-service.aspx

요지는 이렇습니다.

1. 윈도우 64비트는 커널의 가상 주소 공간이 매우 크기 때문에 (제가 알기로는 8TB)
2. 파일 갯수가 엄청 많으면서 지속적으로 엄청난 읽기 I/O를 일으킨다면 (주로 파일 서버)
3. 시스템 파일 캐시 크기가 지속적으로 증가해 결국 물리 메모리 전체를 점유해버림

이 문제를 해결하려면 시스템 파일 캐시의 작업 공간 크기를 제한해야 합니다.

일단 비정상적으로 메모리 사용률이 높은 서버에서 시스템 파일 캐시가 그 원인인지 확인해보고 싶다면 아래 RAMMap 툴을 사용해보시기 바랍니다.

RAMMap
http://technet.microsoft.com/en-us/sysinternals/ff700229

RAMMap.zip

아래 그림과 같이 분홍색 Metafile의 Active 크기가 엄청 크다면 시스템 파일 캐시가 범인이 맞습니다. NTFS의 Metadata를 캐시하고 있는 것입니다.

우선 당장 메모리 사용률을 떨어뜨리고 싶다면 (리부팅 없이) 아래 CacheSet 툴을 사용해보시기 바랍니다.

CacheSet
http://technet.microsoft.com/en-us/sysinternals/bb897561

CacheSet.zip

위 툴로도 시스템 파일 캐시의 작업 공간을 제한할 수 있는데, 제가 윈도우 서버 2008 R2에서 테스트 했을 때는 제한을 해도 최대치를 넘어 계속해서 캐시가 증가하였습니다. 따라서 저는 이 툴을 제한하는 용도로는 사용하지 않습니다. 단지 급하게 메모리 사용률을 떨어뜨리기 위해서만 사용합니다. Clear 버튼을 누르시면 캐시된 메모리 영역을 날려버립니다. 그런데 정확히 표현하자면 날리는 것은 아니고 다른 프로그램이 사용할 수 있는 상태로 되돌리는 것입니다.

Clearing the Cache's Working Set
You can force the Cache to release all of it's pages by pressing the Clear button. Note that the Cache can grow again as necessary, and that this is not the same as flushing the Cache - pages that were assigned to it are simply made available to other programs and can be reclaimed by the Cache.

Clear 버튼을 누르니 아래와 같이 효과가 바로 나타났습니다.

하지만 위 CacheSet은 어디까지나 응급조치용일 뿐이고, 근본적인(?) 조치는 아래 Windows Dynamic Cache Service를 활용하시기 바랍니다.

Microsoft Windows Dynamic Cache Service
http://www.microsoft.com/download/en/details.aspx?id=9258

DynCache.zip

그런데 위 툴은 윈도우 서버 2008 R2를 지원하지 않습니다. 따라서 윈도우 서버 2008 R2 사용자는 아래 파일을 따로 받으시기 바랍니다.

DynCache_x64_2008R2.zip

이상입니다.

출처 : http://snoopybox.co.kr/trackback/1637

서버 2008에서 명령어로 역할/기능을 추가하는 방법에 대해 간단히 알아보겠습니다.

아... 이게 왜 필요한가 하면... 서버 한대만 작업한다면 마우스로 클릭해서 구성요소를 설치하는게 나을 수도 있겠지만, 수십대의 서버에 동일한 작업을 해야 한다면 커맨드를 복사해서 붙여넣는게 좋겠죠?

여기서는 Windows Server 백업 기능을 예제로 설명하겠습니다.

가장 기본적인 명령어입니다. 2008/R2 모두 사용 가능한데 추후에는 사라질 명령어라고 하네요.

ServerManagerCmd.exe -install Backup

설치할 구성 요소의 이름이 궁금하시죠? 그리고 뭐가 설치되어 있는지 확인해볼 필요도 있겠습니다. 이 경우 뒤에 -query 옵션을 붙여주시면 됩니다.

ServerManagerCmd.exe -query

뒤에 [] 안에 들어있는 이름을 -install이나 -remove 할 때 적어주시면 되구요, 하위 구성요소를 전부 설치하고 싶다면 -install 옵션과 함께 -allSubFeatures를 적어주시면 됩니다. 예를 들어 IIS 웹서버 기능 전체를 설치하고 싶다면

ServerManagerCmd.exe -install Web-Server -allSubFeatures

요거는 제가 별로 관심이 없어서... 2008/R2 모두 지원합니다. 원래 서버 Core 버전에 사용하라고 존재하는 명령어 같은데... 자세한 내용은 아래 글을 참조하세요.

http://technet.microsoft.com/ko-kr/library/cc766272(v=ws.10).aspx

여기서는 Windows Server 백업 기능 설치만 보여드리겠습니다.

start /w ocsetup.exe WindowsServerBackup

굳이 앞에 start /wait 옵션을 붙이는 이유는... 안 붙이면 끝났는지 안 끝났는지 표시가 안 되기 때문입니다. 앞에 저렇게 붙여 놓아야 작업이 끝날 때 까지 기다린 다음 프롬프트가 반환됩니다.

제가 윈도우 7에서 즐겨쓰는 명령어입니다. 2008에는 존재하지 않고 2008 R2에서만 사용 가능합니다.

DISM.exe /Online /Enable-Feature /FeatureName:WindowsServerBackup

마찬가지로 뒤에 붙일 FeatureName에 뭘 적어넣어야 할지 궁금하실 텐데, 이렇게 하시면 리스트가 보기 좋게 쭈욱 나옵니다. (너무 많아서 천천히 보려면 뒤에 | more 붙여주시면 되겠죠)

DISM.exe /Online /Get-Features /Format:Table

파워쉘은 제가 아직 잘 모르기 때문에... (서버관리자가 파워쉘을 모른다니!! 라고 욕하지 말아주세요 ㅠㅠ)

아래와 같이 ServerManager 모듈을 Import 하신 다음 사용하시면 됩니다.

import-module ServerManager
Add-WindowsFeature Backup

이상으로 서버 2008 명령어로 역할/기능 추가하는 방법 글을 마치도록 하겠습니다

C:\Users\namtop>nbtstat -a 50.10.50.15

로컬 영역 연결:
노드 IpAddress: [50.10.50.15] 범위 ID: []

           NetBIOS 원격 컴퓨터 이름 테이블

       이름               유형         상태
    ---------------------------------------------
    NAMTOP-DESK    <00>  UNIQUE      등록됨
    NTL            <00>  GROUP       등록됨

    MAC 주소 = 00-25-22-9F-66-00

C:\Users\namtop>nbtstat /?

NBT(NetBIOS over TCP/IP)를 사용하여 프로토콜 통계와 현재 TCP/IP 연결을
표시합니다.

NBTSTAT [ [-a RemoteName] [-A IP address] [-c] [-n]
        [-r] [-R] [-RR] [-s] [-S] [interval] ]

  -a   (adapter status) 이름을 지정하여 원격 컴퓨터의 이름 테이블을 나열합니다.
  -A   (Adapter status) IP 주소를 지정하여 원격 컴퓨터의 이름 테이블을
                        나열합니다.
  -c   (cache)          NBT의 원격 [컴퓨터] 이름과 해당 IP 주소 캐시를 나열합니
다.
  -n   (names)          로컬 NetBIOS 이름을 나열합니다.
  -r   (resolved)       브로드캐스트 및 WINS를 통해 확인된 이름을 나열합니다.
  -R   (Reload)         원격 캐시 이름 테이블을 비우고 다시 로드합니다.
  -S   (Sessions)       대상 IP 주소와 함께 세션 테이블을 나열합니다.
  -s   (sessions)       대상 IP 주소를 컴퓨터 NETBIOS 이름으로 변환하는
                        세션 테이블을 나열합니다.
  -RR  (ReleaseRefresh) WINS로 이름 해제 패킷을 보낸 다음 새로 고침을 시작합니다
.

  RemoteName   원격 호스트 컴퓨터 이름입니다
  IP address   점으로 구분된 10진수 형식의 IP 주소입니다.
  interval     다음 화면으로 이동하기 전에 지정한 시간(초) 동안 선택한 통계를 다
시 표시합니다.
               통계 다시 표시를 중지하려면 <Ctrl+C>를
               누르십시오.

1.     Perforce Service off

Net stop perforce

2.     MetaData Backup

P4d –r d:\program files\perforce\server –jc

3.     기존 DB 및 DEPOT Directories 복사

Checkpoint.n / Journal.n-1 / DB.* / Depot Directories 이하 폴더 à 다른(임의) 폴더에 복사(Copy)

Xcopy “d:\program files\perforce\server\*.*” “d:\program files\Backup_20110729\server\” /e

Del “d:\program files\Backup_20110729\server\jounal”

4.     원본 Root의 DB파일 삭제

Del “d:\program files\perforce\server\DB.*”

5.     MetaData Restore

P4d –r d:\program files\perforce\server –jr Checkpoint.2

(현재 2009년 12월 10일에 생성된 checkpoint.1 및 journal.0 파일이 존재함)

6.     Perforss Service on

Net start Perforce

p4 trigger 명령어로 trigger 수정

p4 set 을 통해 P4User, P4Charset 을 설정 후 P4login 을 통해 관리자 계정으로 로그인 한다.

P4 triggers를 입력 후

 아래와 같이 P4auth_ad-no_null.exe 파일과 DC의 IP 그리고 도메인 명을 입력 한 후 저장한다

참고 사이트 : http://kb.perforce.com/article/74

Download : http://public.perforce.com/public/perforce/utils/triggers/auth/bin.ntx86/p4auth_ad-no_null.exe

소개

이 문서에서는 다양한 보안 관련 및 감사 관련 이벤트에 Windows Vista 에서 및 Windows Server 2008에 설명합니다. 이...

이 문서에서는 다양한 보안 관련 및 감사 관련 이벤트에 Windows Vista 에서 및 Windows Server 2008에 설명합니다. 이 문서에서는 이러한 이벤트를 해석하는 방법에 대한 정보도 제공합니다. 이러한 이벤트는 보안 로그에 나타날 및 "보안-감사에." 중 원본과 기록된다 이 문서에서는 또한 개별 이벤트에 대한 보다 자세한 데이터를 검색하는 방법을 설명합니다.

위로 가기

추가 정보

이 섹션에서는 모든 Windows Vista 보안 감사 관련 이벤트 범주 및 하위 범주를 나열합니다. 범주: 계정 로그온 하위 범주: 자격 증명...

이 섹션에서는 모든 Windows Vista 보안 감사 관련 이벤트 범주 및 하위 범주를 나열합니다.

위로 가기

범주: 계정 로그온

하위 범주: 자격 증명 유효성 검사

표 축소표 확대

ID	메시지
4774	계정이 로그온에 매핑되었습니다.
4775	로그온 계정을 매핑할 수 없습니다.
4776	도메인 컨트롤러가 계정에 대한 자격 증명의 유효성을 했습니다.
4777	도메인 컨트롤러가 계정에 대한 자격 증명의 유효성을 검사하지 못했습니다.

하위 범주: Kerberos 인증 서비스

표 축소표 확대

ID	메시지
4768	Kerberos 인증 티켓 (TGT) 요청했습니다.
4771	Kerberos 사전 인증이 실패했습니다.
4772	Kerberos 인증 티켓 요청이 실패했습니다.

하위 범주: Kerberos 서비스 티켓 작업

표 축소표 확대

ID	메시지
4769	Kerberos 서비스 티켓이 요청되었습니다.
4770	Kerberos 서비스 티켓을 갱신할 수 없습니다.
4773	Kerberos 서비스 티켓 요청이 실패했습니다.

위로 가기

범주: 계정 관리

하위 범주: 응용 프로그램 그룹 관리

표 축소표 확대

ID	메시지
4783	기본 응용 프로그램 그룹이 만들어졌습니다.
4784	기본 응용 프로그램 그룹이 변경되었습니다.
4785	기본 응용 프로그램 그룹에 구성원이 추가되었습니다.
4786	기본 응용 프로그램 그룹에서 구성원이 제거되었습니다.
4787	비-구성원 기본 응용 프로그램 그룹에 추가되었습니다.
4788	비-구성원이 기본 응용 프로그램 그룹에서 제거되었습니다.
4789	기본 응용 프로그램 그룹이 삭제되었습니다.
4790	LDAP 쿼리 그룹이 만들어졌습니다.
4791	기본 응용 프로그램 그룹이 변경되었습니다.
4792	LDAP 쿼리 그룹이 삭제되었습니다.

하위 범주: 컴퓨터 계정 관리

표 축소표 확대

ID	메시지
4741	컴퓨터 계정을 만들었습니다.
4742	컴퓨터 계정이 변경되었습니다.
4743	컴퓨터 계정이 삭제되었습니다.

하위 범주: 메일 그룹 관리

표 축소표 확대

ID	메시지
4744	보안이 비활성화된 로컬 그룹이 만들어졌습니다.
4745	보안이 비활성화된 로컬 그룹이 변경되었습니다.
4746	보안이 비활성화된 로컬 그룹에 구성원이 추가되었습니다.
4747	보안이 비활성화된 로컬 그룹에서 구성원이 제거되었습니다.
4748	보안이 비활성화된 로컬 그룹이 삭제되었습니다.
4749	보안이 비활성화된 글로벌 그룹이 만들어졌습니다.
4750	보안이 비활성화된 글로벌 그룹이 변경되었습니다.
4751	보안이 비활성화된 글로벌 그룹에 구성원이 추가되었습니다.
4752	보안이 비활성화된 글로벌 그룹에서 구성원이 제거되었습니다.
4753	보안이 비활성화된 글로벌 그룹이 삭제되었습니다.
4759	보안이 비활성화된 유니버설 그룹이 만들어졌습니다.
4760	보안이 비활성화된 유니버설 그룹이 변경되었습니다.
4761	보안이 비활성화된 유니버설 그룹에 구성원이 추가되었습니다.
4762	보안이 비활성화된 유니버설 그룹에서 구성원이 제거되었습니다.

하위 범주: 다른 계정 관리 이벤트

표 축소표 확대

ID	메시지
4739	도메인 정책 변경되었습니다.
4782	암호 해시를 계정을 액세스했습니다.
4793	암호 정책 검사 API는 호출했습니다.

하위 범주: 보안 그룹 관리

표 축소표 확대

ID	메시지
4727	보안된 글로벌 그룹이 만들어졌습니다.
4728	보안된 글로벌 그룹에 구성원이 추가되었습니다.
4729	보안된 글로벌 그룹에서 구성원이 제거되었습니다.
4730	보안된 글로벌 그룹이 삭제되었습니다.
4731	보안된 로컬 그룹이 만들어졌습니다.
4732	보안된 로컬 그룹에 구성원이 추가되었습니다.
4733	보안된 로컬 그룹에서 구성원이 제거되었습니다.
4734	보안된 로컬 그룹이 삭제되었습니다.
4735	보안된 로컬 그룹이 변경되었습니다.
4737	보안된 글로벌 그룹이 변경되었습니다.
4754	보안이 활성화된 유니버설 그룹이 만들어졌습니다.
4755	보안이 활성화된 유니버설 그룹이 변경되었습니다.
4756	보안이 활성화된 유니버설 그룹에 구성원이 추가되었습니다.
4757	보안이 활성화된 유니버설 그룹에서 구성원이 제거되었습니다.
4758	보안이 활성화된 유니버설 그룹이 삭제되었습니다.
4764	있는 그룹 형식이 변경되었습니다.

하위 범주: 사용자 계정 관리

표 축소표 확대

ID	메시지
4720	사용자 계정을 만들었습니다.
4722	사용자 계정을 사용할 수 있습니다.
4723	계정의 암호를 변경하려고 했습니다.
4724	계정의 암호를 원래대로 했습니다.
4725	사용자 계정은 사용하지 않도록 설정했습니다.
4726	사용자 계정이 삭제되었습니다.
4738	사용자 계정이 변경되었습니다.
4740	사용자 계정이 잠겨 있었습니다.
4765	SID 기록의 계정은 추가되었습니다.
4766	계정의 SID 히스토리를 추가할 수 없습니다.
4767	사용자 계정 잠금이 해제되었습니다.
4780	관리자 그룹의 구성원인 계정에 대한 ACL이 설정되었습니다.
4781	계정 이름이 변경되었습니다.
4794	디렉터리 서비스 복원 모드를 설정하려면 시도가 있었습니다.
5376	자격 증명 관리자 자격 증명이 백업되지 않았습니다.
5377	자격 증명 관리자 자격 증명은 백업에서 복원되었습니다.

위로 가기

범주: 세부 추적

하위 범주: DPAPI 활동

표 축소표 확대

ID	메시지
4692	데이터 보호 마스터 키가 백업은 수행하려고 했습니다.
4693	데이터 보호 마스터 키가 복구가 .
4694	보호된 감사 가능 데이터가 보호가 .
4695	감사 가능한 보호된 데이터의 unprotection이 .

하위 범주: 프로세스 생성

표 축소표 확대

ID	메시지
4688	새 프로세스를 만들었습니다.
4696	처리할 주 토큰이 할당되었습니다.

하위 범주: 프로세스 종료

표 축소표 확대

ID	메시지
4689	프로세스가 종료되었습니다.

하위 범주: RPC 이벤트

표 축소표 확대

ID	메시지
5712	한 원격 프로시저 호출 (RPC) 하려고 했습니다.

위로 가기

범주: DS 액세스

하위 범주: 세부 디렉터리 서비스 복제

표 축소표 확대

ID	메시지
4928	않은 Active Directory 복제 원본 명명 컨텍스트가 설정되었습니다.
4929	않은 Active Directory 복제 원본 명명 컨텍스트가 제거되었습니다.
4930	않은 Active Directory 복제 원본 명명 컨텍스트가 수정되었습니다.
4931	않은 Active Directory 복제 대상 명명 컨텍스트가 수정되었습니다.
4934	Active Directory 개체의 특성이 복제되지 않았습니다.
4935	복제 실패가 시작합니다.
4936	복제 실패가 끝납니다.
4937	느린 개체가 복제 데이터베이스에서 제거되었습니다.

하위 범주: 디렉터리 서비스 액세스

표 축소표 확대

ID	메시지
4662	개체에 대한 작업을 수행할 수 있었습니다.

하위 범주: 디렉터리 서비스 변경

표 축소표 확대

ID	메시지
5136	디렉터리 서비스 개체가 수정되었습니다.
5137	디렉터리 서비스 개체를 만들지 못했습니다.
5138	디렉터리 서비스 개체를 삭제 취소할 수 없습니다.
5139	디렉터리 서비스 개체가 이동되었습니다.

참고 다음과 같은 이벤트가 디렉터리 서비스 변경은 하위 범주에 있는 경우에만 Windows Vista 서비스 팩 1 및 Windows Server 2008에서 사용할 수 있습니다.

표 축소표 확대

ID	메시지
5141	디렉터리 서비스 개체가 삭제되었습니다.

하위 범주: 디렉터리 서비스 복제

표 축소표 확대

ID	메시지
4932	Active Directory 명명 컨텍스트의 복제본을 동기화를 시작했습니다.
4933	Active Directory 명명 컨텍스트의 복제본 동기화가 끝났습니다.

위로 가기

로그온/로그오프 범주:

하위 범주: IPsec 모드 확장

표 축소표 확대

ID	메시지
4978	확장 모드 협상 중에 IPsec 협상 잘못된 패킷을 받았습니다. 이 문제가 계속되면 네트워크 문제 또는 수정하거나 이 협상 재생 하면 나타낼 수 있습니다.
4979	IPsec 주 모드 및 확장 모드 보안 연결은 설정되었습니다.
4980	IPsec 주 모드 및 확장 모드 보안 연결은 설정되었습니다.
4981	IPsec 주 모드 및 확장 모드 보안 연결은 설정되었습니다.
4982	IPsec 주 모드 및 확장 모드 보안 연결은 설정되었습니다.
4983	IPsec 확장 모드 협상에 실패했습니다. 해당 주 모드 보안 연결이 삭제되었습니다.
4984	IPsec 확장 모드 협상에 실패했습니다. 해당 주 모드 보안 연결이 삭제되었습니다.

하위 범주: IPsec 주 모드

표 축소표 확대

ID	메시지
4646	IKE는 DoS 방지 모드가 시작되었습니다.
4650	IPsec 주 모드 보안 연결이 설정되었습니다. 확장된 모드는 사용할 수 없습니다. 인증서 인증을 사용하지 않았습니다.
4651	IPsec 주 모드 보안 연결이 설정되었습니다. 확장된 모드는 사용할 수 없습니다. 인증서 인증은 위해 사용되었습니다.
4652	IPsec 주 모드 협상에 실패했습니다.
4653	IPsec 주 모드 협상에 실패했습니다.
4655	IPsec 주 모드 보안 연결이 종료되었습니다.
4976	주 모드 협상 중에 IPsec 협상 잘못된 패킷을 받았습니다. 이 문제가 계속되면 네트워크 문제 또는 수정하거나 이 협상 재생 하면 나타낼 수 있습니다.
5049	IPsec 보안 연결 삭제되었습니다.
5453	IKE와 AuthIP IPsec 키 모듈 (IKEEXT) 서비스가 시작되지 않으므로 원격 컴퓨터에서 IPsec 협상이 실패했습니다.

하위 범주: IPsec 빠른 모드

표 축소표 확대

ID	메시지
4654	IPsec 빠른 모드 협상에 실패했습니다.
4977	빠른 모드 협상 중에 IPsec 협상 잘못된 패킷을 받았습니다. 이 문제가 계속되면 네트워크 문제 또는 수정하거나 이 협상 재생 하면 나타낼 수 있습니다.
5451	IPsec 빠른 모드 보안 연결이 설정되었습니다.
5452	빠른 모드 IPsec 보안 연결이 종료되었습니다.

하위 범주: 로그오프

표 축소표 확대

ID	메시지
4634	계정을 로그오프하지 못했습니다.
4647	사용자가 로그오프를 시작했습니다.

하위 범주: 로그온

표 축소표 확대

ID	메시지
4624	계정은 성공적으로 로그온하지 않았습니다.
4625	계정에 로그온하지 못했습니다.
4648	명시적 자격 증명을 사용하여 로그온이 시도되었습니다.
4675	SID 필터링 않았습니다.

참고 네트워크 정책 서버 하위 범주 모든 이벤트를 경우에만 Windows Vista 서비스 팩 1 및 Windows Server 2008에서 사용할 수 있습니다.

하위 범주: 네트워크 정책 서버

표 축소표 확대

ID	메시지
6272	네트워크 정책 서버 사용자에게 액세스를 부여할.
6273	네트워크 정책 서버 사용자에게 액세스가 거부되었습니다.
6274	네트워크 정책 서버 사용자에 대한 요청을 무시합니다.
6275	네트워크 정책 서버 사용자 계정 요청을 무시합니다.
6276	사용자가 네트워크 정책 서버 격리.
6277	네트워크 정책 서버 사용자에게 액세스 권한이 있지만 호스트 정의된 상태 정책을 충족하지 않으므로 probation에 넣습니다.
6278	네트워크 정책 서버 호스트 정의된 상태 정책을 충족하지 않으므로 모든 권한을 사용자에게 부여할.
6279	네트워크 정책 서버 반복되는 실패한 인증 시도 인하여 사용자 계정이 잠겨.
6280	네트워크 정책 서버 사용자 계정 잠금이.

하위 범주: 기타 로그온/로그오프 이벤트

표 축소표 확대

ID	메시지
4649	재생 공격이 검색되었습니다.
4778	세션 창 스테이션 다시 연결되지 않았습니다.
4779	창 스테이션에서 세션 연결이 끊어졌습니다.
4800	워크스테이션이 잠겼습니다.
4801	워크스테이션의 잠금이 해제되었습니다.
4802	화면 보호기 호출된.
4803	화면 보호기를 해제할 수 없습니다.
5378	요청한 자격 증명 위임 정책에서 허용하지 않습니다.
5632	무선 네트워크 인증을 위해 요청이 작성되었습니다.
5633	유선된 네트워크에 인증하기 위해 요청이 작성되었습니다.

하위 범주: 특수 로그온

표 축소표 확대

ID	메시지
4964	특수 그룹은 새 로그온 할당되었습니다.

위로 가기

범주: 개체 액세스

하위 범주: 응용 프로그램 생성

표 축소표 확대

ID	메시지
4665	응용 프로그램이 클라이언트 컨텍스트를 만들려고 했습니다.
4666	응용 프로그램이 했습니다.
4667	응용 프로그램 클라이언트 컨텍스트가 삭제되었습니다.
4668	응용 프로그램이 초기화되었습니다.

하위 범주: 인증 서비스

표 축소표 확대

ID	메시지
4868	인증서 관리자 보류 중인 인증서 요청을 거부했습니다.
4869	인증서 서비스가 resubmitted 인증서 요청을 받았습니다.
4870	인증서 서비스에서 인증서를 해지했습니다.
4871	인증서 서비스에서 인증서 해지 목록 (CRL) 게시 요청을 받았습니다.
4872	인증서 서비스에서 인증서 해지 목록 (CRL)을 게시했습니다.
4873	인증서 요청 확장이 변경되었습니다.
4874	하나 이상의 인증서 요청 특성이 변경되었습니다.
4875	인증서 서비스가 종료 요청을 받았습니다.
4876	인증서 서비스 백업을 시작했습니다.
4877	인증서 서비스 백업이 완료되었습니다.
4878	인증서 서비스 복원을 시작했습니다.
4879	인증서 서비스 복원이 완료되었습니다.
4880	인증서 서비스가 시작되었습니다.
4881	인증서 서비스가 중지되었습니다.
4882	인증서 서비스에 대한 보안 권한을 변경했습니다.
4883	인증서 서비스에서 보관된 키를 검색할.
4884	인증서 서비스에서 인증서를 해당 데이터베이스로 가져옵니다.
4885	인증서 서비스의 감사 필터가 변경되었습니다.
4886	인증서 서비스에서 인증서 요청을 받았습니다.
4887	인증서 서비스에서 인증서 요청을 승인했으며 인증서를 발급했습니다.
4888	인증서 서비스에서 인증서 요청을 거부했습니다.
4889	인증서 서비스에서 인증서 요청 상태를 대기 중으로 설정.
4890	인증서 서비스의 인증서 관리자 설정이 변경되었습니다.
4891	인증서 서비스에서 변경할 구성 항목입니다.
4892	인증서 서비스의 속성이 변경되었습니다.
4893	인증서 서비스에서 키가 보관되었습니다.
4894	인증서 서비스에서 가져온 및 키 보관.
4895	인증서 서비스는 CA 인증서를 Active Directory 도메인 서비스 게시되었습니다.
4896	인증서 데이터베이스에서 하나 이상의 행이 삭제되었습니다.
4897	역할 구분 사용:
4898	인증서 서비스에서 템플릿을 로드할.
4899	인증서 서비스 템플릿이 업데이트되었습니다.
4900	인증서 서비스 템플릿 보안이 업데이트되었습니다.
5120	OCSP 응답자 서비스를 시작했습니다.
5121	OCSP 응답자 서비스가 중지되었습니다.
5122	OCSP 응답자 서비스를 변경할 구성 항목.
5123	OCSP 응답자 서비스를 변경할 구성 항목.
5124	보안 설정은 OCSP 응답자 서비스는 업데이트되었습니다.
5125	요청이 OCSP 응답자 서비스는 제출되었습니다.
5126	인증서 서명 OCSP 응답자 서비스는 자동으로 업데이트되었습니다.
5127	OCSP 해지 공급자 해지 정보를 업데이트했습니다.

하위 범주: 파일 공유

표 축소표 확대

ID	메시지
5140	네트워크 공유에 개체에 액세스했습니다.

하위 범주: 파일 시스템

표 축소표 확대

ID	메시지
4664	하드 링크를 만들려고 했습니다.
4985	트랜잭션 상태가 변경되었습니다.
5051	파일을 가상화할 수 없습니다.

하위 범주: 플랫폼 연결 필터링

표 축소표 확대

ID	메시지
5031	Windows 방화벽 서비스가 네트워크에서 들어오는 연결을 허용하지 못하도록 응용 프로그램을 차단했습니다.
5154	Windows 필터링 플랫폼 응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신할 수 사용할 수 있습니다.
5155	Windows 필터링 플랫폼 응용 프로그램 또는 서비스가 포트에서 들어오는 연결을 수신하는 것을 차단했습니다.
5156	Windows 필터링 플랫폼 연결을 사용할 수 있습니다.
5157	Windows 필터링 플랫폼 연결을 차단했습니다.
5158	로컬 포트에 바인딩하기 Windows 필터링 플랫폼 사용할 수 있습니다.
5159	로컬 포트에 바인딩하기를 Windows 필터링 플랫폼 차단했습니다.

하위 범주: 플랫폼 패킷 Drop 필터링

표 축소표 확대

ID	메시지
5152	Windows 필터링 플랫폼 패킷이 차단되었습니다.
5153	보다 제한적인 Windows 필터링 플랫폼 필터 패킷을 차단했습니다.

하위 범주: 핸들 조작

표 축소표 확대

ID	메시지
4656	개체에 대한 핸들이 요청되었습니다.
4658	개체에 대한 핸들이 닫혔습니다.
4690	개체에 대한 핸들을 복제할 했습니다.

하위 범주: 기타 개체 액세스 이벤트

표 축소표 확대

ID	메시지
4671	응용 프로그램을 통해 TBS와 차단된 서수를 액세스하려고 했습니다.
4691	개체에 대한 간접 액세스가 요청되었습니다.
4698	예약된 작업을 만들었습니다.
4699	예약된 작업이 삭제되었습니다.
4700	예약된 작업을 사용할 수 있습니다.
4701	예약된 작업을 사용할 수 없습니다.
4702	예약된 작업이 업데이트되었습니다.
5888	COM + 카탈로그에 있는 개체가 수정되었습니다.
5889	COM + 카탈로그에서 개체가 삭제되었습니다.
5890	개체는 COM + 카탈로그 추가되었습니다.

하위 범주: 레지스트리

표 축소표 확대

ID	메시지
4657	레지스트리 값이 수정되었습니다.
5039	레지스트리 키를 가상화할 수 없습니다.

하위 범주: Special Multi-use Subcategory

참고 해당 하위 범주를 사용하면 모든 리소스 관리자가 다음과 같은 이벤트가 생성될 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자에 의해 생성될 수 있습니다. "개체 액세스:: 커널 개체" 및 "개체 액세스:: SAM" 하위 범주를 이러한 이벤트를 단독으로 사용할 하위 범주를 예입니다.

표 축소표 확대

ID	메시지
4659	개체에 대한 핸들은 삭제하려면 의도로 요청했습니다.
4660	개체가 삭제되었습니다.
4661	개체에 대한 핸들이 요청되었습니다.
4663	개체에 액세스하려고 했습니다.

위로 가기

범주: 정책 변경

하위 범주: 감사 정책 변경

표 축소표 확대

ID	메시지
4715	개체에 대한 감사 정책 (SACL) 변경되었습니다.
4719	시스템 감사 정책이 변경되었습니다.
4902	사용자 당 감사 정책을 테이블을 만들었습니다.
4904	보안 이벤트 소스를 등록할 했습니다.
4905	보안 이벤트 소스를 했습니다.
4906	CrashOnAuditFail 값이 변경되었습니다.
4907	개체에 대한 감사 설정은 변경되었습니다.
4908	특수 그룹 로그온 테이블을 수정할입니다.
4912	사용자 당 감사 정책 변경되었습니다.

하위 범주: 인증 정책 변경

표 축소표 확대

ID	메시지
4706	새 트러스트는 도메인에 만들어집니다.
4707	도메인에 트러스트가 제거되었습니다.
4713	Kerberos 정책이 변경되었습니다.
4716	트러스트된 도메인 정보가 수정되었습니다.
4717	시스템 보안 액세스는 위해 계정은 부여했습니다.
4718	시스템 보안 액세스 계정의 제거되었습니다.
4864	네임스페이스 충돌이 감지되었습니다.
4865	트러스트된 포리스트 정보를 항목이 추가되었습니다.
4866	트러스트된 포리스트 정보를 항목이 제거되었습니다.
4867	트러스트된 포리스트 정보를 항목이 수정되었습니다.

하위 범주: 권한 부여 정책 변경

표 축소표 확대

ID	메시지
4704	사용자 권한이 할당되었습니다.
4705	사용자 권한이 제거되었습니다.
4714	암호화된 데이터 복구 정책이 변경되었습니다.

하위 범주: 필터링 플랫폼 정책 변경

표 축소표 확대

ID	메시지
4709	IPsec 서비스는 시작했습니다.
4710	IPsec 서비스는 사용할 수 없습니다.
4711	다음 중 하나가 포함될 수 있습니다. PAStore 엔진이 해당 컴퓨터에서 로컬로 캐시된 복사본을 Active Directory 저장소 IPsec 정책이 적용됩니다. PAStore 엔진이 Active Directory 저장소 IPsec 정책이 컴퓨터에 적용되는. PAStore 엔진이 로컬 레지스트리 저장소 IPsec 정책이 컴퓨터에 적용되는. PAStore 엔진이 컴퓨터에 로컬로 캐시된 복사본을 Active Directory 저장소 IPsec 정책 적용하지 못했습니다. PAStore 엔진이 컴퓨터에 Active Directory 저장소 IPsec 정책을 적용하지 못했습니다. PAStore 엔진이 컴퓨터에 로컬 레지스트리 저장소 IPsec 정책을 적용하지 못했습니다. PAStore 엔진이 컴퓨터에 있는 일부 활성 IPsec 정책 규칙을 적용할 수 없습니다. PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다. PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드할. PAStore 엔진이 로컬 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다. PAStore 엔진이 로컬 저장소의 IPsec 정책이 컴퓨터에 로드된. PAStore 엔진이 활성 IPsec 정책 변경을 폴링합니다 및 검색된 변경 내용이 없습니다.
4712	IPsec 서비스에 심각한 오류가 발생했습니다.
5040	IPsec 설정 변경이 . 인증을 설정하는 추가되었습니다.
5041	IPsec 설정 변경이 . 인증을 설정하는 수정되었습니다.
5042	IPsec 설정 변경이 . 인증을 설정하는 삭제되었습니다.
5043	IPsec 설정 변경이 . 연결 보안 규칙 추가되었습니다.
5044	IPsec 설정 변경이 . 연결 보안 규칙 수정되었습니다.
5045	IPsec 설정 변경이 . 연결 보안 규칙 삭제되었습니다.
5046	IPsec 설정 변경이 . 암호화 설정 추가되었습니다.
5047	IPsec 설정 변경이 . 암호화 설정 수정되었습니다.
5048	IPsec 설정 변경이 . 암호화 설정 삭제되었습니다.
5440	다음 설명선 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5441	다음 필터를 사용하면 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5442	다음 공급자가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5443	다음 공급자 컨텍스트가 Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5444	다음 sub-layer Windows 필터링 플랫폼 기본 필터링 엔진 시작할 때 존재했던.
5446	Windows 필터링 플랫폼 설명선이 변경되었습니다.
5448	Windows 필터링 플랫폼 공급자가 변경되었습니다.
5449	Windows 필터링 플랫폼 공급자 컨텍스트가 변경되었습니다.
5450	Windows 필터링 플랫폼 sub-layer가 변경되었습니다.
5456	PAStore 엔진이 Active Directory 저장소 IPsec 정책이 컴퓨터에 적용되는.
5457	PAStore 엔진이 컴퓨터에 Active Directory 저장소 IPsec 정책을 적용하지 못했습니다.
5458	PAStore 엔진이 해당 컴퓨터에서 로컬로 캐시된 복사본을 Active Directory 저장소 IPsec 정책이 적용됩니다.
5459	PAStore 엔진이 컴퓨터에 로컬로 캐시된 복사본을 Active Directory 저장소 IPsec 정책 적용하지 못했습니다.
5460	PAStore 엔진이 로컬 레지스트리 저장소 IPsec 정책이 컴퓨터에 적용되는.
5461	PAStore 엔진이 컴퓨터에 로컬 레지스트리 저장소 IPsec 정책을 적용하지 못했습니다.
5462	PAStore 엔진이 컴퓨터에 있는 일부 활성 IPsec 정책 규칙을 적용할 수 없습니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단하십시오.
5463	PAStore 엔진이 활성 IPsec 정책 변경을 폴링합니다 및 검색된 변경 내용이 없습니다.
5464	PAStore 엔진이 활성 IPsec 정책 변경을 폴링합니다 변경, 검색 및 IPsec 서비스에 적용됩니다.
5465	PAStore 엔진이 IPsec 정책을 강제로 다시 로드하기 위한 컨트롤을 받았으며 해당 컨트롤을 성공적으로 처리했습니다.
5466	PAStore 엔진이 Active Directory 연결할 수 있고 Active Directory IPsec 정책의 캐시된 사본을 대신 사용할 Active Directory IPsec 정책 변경을 폴링합니다. 마지막 폴링 적용할 수 있으므로 Active Directory IPsec 정책 변경.
5467	PAStore 엔진이 Active Directory 도달하면 및 수 정책이 없는 변경 내용이 있는지 확인할 Active Directory IPsec 정책 변경을 폴링합니다. Active Directory IPsec 정책 캐시된 복사본이 더 이상 사용 중입니다.
5468	PAStore 엔진이 Active Directory 도달할 수, 정책, 변경 내용을 찾을 수 있고 해당 변경 내용이 적용된 Active Directory IPsec 정책 변경을 폴링합니다. Active Directory IPsec 정책 캐시된 복사본이 더 이상 사용 중입니다.
5471	PAStore 엔진이 로컬 저장소의 IPsec 정책이 컴퓨터에 로드된.
5472	PAStore 엔진이 로컬 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다.
5473	PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드할.
5474	PAStore 엔진이 디렉터리 저장소 컴퓨터에서 IPsec 정책을 로드하지 못했습니다.
5477	PAStore 엔진이 빠른 모드 필터를 추가할 수 없습니다.

하위 범주: MPSSVC 규칙 수준 정책 변경

표 축소표 확대

ID	메시지
4944	Windows 방화벽을 시작할 때 다음 정책을 활성 않았습니다.
4945	Windows 방화벽을 시작할 때 규칙 목록에 없습니다.
4946	Windows 방화벽 예외 목록에 대한 변경 내용이 있습니다. 규칙이 추가되었습니다.
4947	Windows 방화벽 예외 목록에 대한 변경 내용이 있습니다. 규칙이 수정되었습니다.
4948	Windows 방화벽 예외 목록에 대한 변경 내용이 있습니다. 규칙이 삭제되었습니다.
4949	Windows 방화벽 설정은 기본값으로 복원했습니다.
4950	Windows 방화벽 설정이 변경되었습니다.
4951	주 버전 번호를 Windows 방화벽에 의해 인식되지 않으므로 규칙이 무시되었습니다.
4952	부 버전 번호를 Windows 방화벽에 의해 인식되지 않으므로 규칙의 부분은 무시되었습니다. 규칙 다른 부분에 적용됩니다.
4953	규칙을 분석할 수 있기 때문에 Windows 방화벽에서 규칙이 무시되었습니다.
4954	Windows 방화벽 그룹 정책 설정을 변경했습니다. 새 설정이 적용되었습니다.
4956	Windows 방화벽이 현재 프로필에 변경되었습니다.
4957	Windows 방화벽은 다음과 같은 규칙을 적용하지 못했습니다.
4958	이 컴퓨터에 구성된 항목을 규칙에 참조되는 때문에 Windows 방화벽을 다음과 같은 규칙을 적용하지 못했습니다.
5050	Windows Vista에서 이 API를 지원하지 않기 때문에 프로그래밍 방식으로 INetFwProfile.FirewallEnabled(FALSE) 인터페이스 호출을 사용하여 Windows 방화벽 해제 시도가 거부되었습니다. 이것은 대부분 Windows Vista와 호환되지 않는 프로그램 인하여 발생했습니다. Windows Vista 호환 프로그램 버전이 있는지 해당 프로그램 제조업체에 문의하십시오.

하위 범주: 기타 정책 변경 이벤트

표 축소표 확대

ID	메시지
4909	해당 TBS 로컬 정책 설정은 변경되었습니다.
4910	해당 TBS 그룹 정책 설정은 변경되었습니다.
5063	암호화 공급자의 작업이 시도되었습니다.
5064	암호화 컨텍스트를 작업이 시도되었습니다.
5065	암호화 컨텍스트를 수정이 .
5066	암호화 기능이 작업이 시도되었습니다.
5067	암호화 기능이 수정이 .
5068	함수는 암호화 공급자가 작업이 시도되었습니다.
5069	암호화 기능이 속성 작업이 시도되었습니다.
5070	암호화 기능이 속성 수정이 .
5447	Windows 필터링 플랫폼 필터가 변경되었습니다.
6144	그룹 정책 개체의 보안 정책이 성공적으로 적용된.
6145	그룹 정책 개체의 보안 정책을 처리하는 동안 하나 이상의 오류가 발생했습니다.

하위 범주: Special Multi-use Subcategory

참고 해당 하위 범주를 사용하면 모든 리소스 관리자가 다음과 같은 이벤트가 생성될 수 있습니다. 예를 들어, 다음 이벤트가 레지스트리 리소스 관리자에 의해 또는 파일 시스템 리소스 관리자에 의해 생성될 수 있습니다.

표 축소표 확대

ID	메시지
4670	개체의 사용 권한은 변경되었습니다.

위로 가기

범주: 권한 사용

권한 사용의 중요한 하위 범주:/비 구분 권한 사용

표 축소표 확대

ID	메시지
4672	새 로그온에 할당된 특별한 권한이입니다.
4673	권한 있는 서비스가 호출되었습니다.
4674	권한 개체에서 작업이 시도되었습니다.

위로 가기

범주: 시스템

하위 범주: IPsec 드라이버

표 축소표 확대

ID	메시지
4960	무결성 검사를 실패한 인바운드 패킷은 IPsec가 삭제했습니다. 이 문제가 계속되면 네트워크 문제 또는 해당 패킷을 이 컴퓨터로 전송되는 수정되는 나타낼 수 있습니다. 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받는 것과 같은지 확인하십시오. 또한 이 오류는 다른 IPsec 구현이 상호 운용성 문제를 나타낼 수 있습니다.
4961	IPsec 재생 검사에 실패한 인바운드 패킷을 삭제했습니다. 이 문제가 계속되면 이 컴퓨터에서 재생 공격을 나타낼 수 있습니다.
4962	IPsec 재생 검사에 실패한 인바운드 패킷을 삭제했습니다. 인바운드 패킷 재생 않았습니다 하기 위해 너무 낮은 시퀀스 번호가 있었습니다.
4963	IPsec 보안이 설정되어 있어야 합니다 인바운드 일반 텍스트 패킷을 삭제했습니다. 이 문제는 일반적으로 이 컴퓨터에 알리지 않고 IPsec 정책 변경 원격 컴퓨터에서 발생합니다. 스푸핑 공격을 시도할 수도 있습니다.
4965	함께 있는 잘못된 보안 매개 변수 색인 (SPI) 원격 컴퓨터에서 IPsec 패킷을 받았습니다. 일반적으로 이 패킷을 손상시키는 고장난 하드웨어에 의해 발생합니다. 이 오류가 계속되면 원격 컴퓨터에서 보낸 패킷이 이 컴퓨터가 받는 것과 같은지 확인하십시오. 이 오류는 다른 IPsec 구현이 상호 운용성 문제를 나타낼 수도 있습니다. 연결 impeded 경우, 이 경우 다음 이러한 이벤트는 무시할 수 있습니다.
5478	IPsec 서비스를 성공적으로 시작했습니다.
5479	IPsec 서비스는 성공적으로 종료되었습니다. IPsec 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험에 처할 수 또는 잠재적인 보안 위험에 컴퓨터가 노출될 수 있습니다.
5480	IPsec 서비스 컴퓨터의 네트워크 인터페이스에 전체 목록을 가져오지 못했습니다. 일부 네트워크 인터페이스는에 의해 적용된 IPsec 필터를 제공하는 보호 얻지 못할 수 있기 때문에 보안 위험이 발생합니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단하십시오.
5483	IPsec 서비스가 RPC 서버를 초기화하지 못했습니다. IPsec 서비스는 시작할 수 없습니다.
5484	IPsec 서비스 중요한 오류가 발생한 및 종료되었습니다. IPsec 서비스의 종료 컴퓨터에 네트워크 공격 큰 위험에 처할 수 또는 잠재적인 보안 위험에 컴퓨터가 노출될 수 있습니다.
5485	IPsec 서비스가 네트워크 인터페이스에 대한 플러그 앤 플레이 이벤트에 대한 일부 IPsec 필터를 처리하지 못했습니다. 일부 네트워크 인터페이스는에 의해 적용된 IPsec 필터를 제공하는 보호 얻지 못할 수 있기 때문에 보안 위험이 발생합니다. IP 보안 모니터 스냅인을 사용하여 문제를 진단하십시오.

하위 범주: 기타 시스템 이벤트

표 축소표 확대

ID	메시지
5024	Windows 방화벽 서비스가 잘 시작되었습니다.
5025	Windows 방화벽 서비스가 중지되었습니다.
5027	Windows 방화벽 서비스가 로컬 저장소에서 보안 정책을 검색할 수 없습니다. 현재 정책 강제 서비스를 계속합니다.
5028	Windows 방화벽 서비스가 새 보안 정책을 구문 분석할 수 없습니다. 현재 적용된 정책 서비스를 계속합니다.
5029	Windows 방화벽 서비스가 드라이버를 초기화할 수 없습니다. 서비스를 계속 현재 정책을 적용합니다.
5030	Windows 방화벽 서비스를 시작하지 못했습니다.
5032	Windows 방화벽에서 응용 프로그램을 네트워크에서 들어오는 연결을 허용하지 못하도록 차단된 사용자에게 알릴 수 없습니다.
5033	Windows 방화벽 드라이버 시작되었습니다.
5034	Windows 방화벽 드라이버가 중지되었습니다.
5035	Windows 방화벽 드라이버를 시작하지 못했습니다.
5037	Windows 방화벽 드라이버 중요한 런타임 오류를 발견했습니다. 종료합니다.
5058	키 파일 작업입니다.
5059	키 마이그레이션 작업입니다.

하위 범주: 보안 상태 변경

표 축소표 확대

ID	메시지
4608	Windows 시작하는 중입니다.
4616	시스템 시간이 변경되었습니다.
4621	관리자에서 CrashOnAuditFail 시스템이 복구되었습니다. 관리자가 아닌 사용자는 로그온할 때 이제 허용됩니다. 일부 감사 가능한 작업이 기록되어 있을 수 없습니다.

하위 범주: 보안 시스템 확장

표 축소표 확대

ID	메시지
4610	로컬 보안 기관에 의해 인증 패키지가 로드되었습니다.
4611	신뢰할 수 있는 로그온 프로세스가 로컬 보안 권한으로 등록되었습니다.
4614	보안 계정 관리자가 알림 패키지가 로드되었습니다.
4622	로컬 보안 기관에 의해 보안 패키지가 로드되었습니다.
4697	서비스는 시스템에 설치된 것입니다.

하위 범주: 시스템 무결성

표 축소표 확대

ID	메시지
4612	일부 감사를 손실을 선행 감사 메시지 대기열에 할당된 내부 리소스가 없으므로 않은 있습니다.
4615	LPC 포트 사용이 잘못되었습니다.
4618	모니터링되는 보안 이벤트 패턴을 발생했습니다.
4816	RPC 들어오는 메시지의 암호를 해독하는 동안 무결성 위반을 발견했습니다.
5038	코드 무결성을 파일의 이미지 해시 유효하지 않음을 확인했습니다. 잘못된 해시 잠재적인 디스크 장치 오류 나타낼 수 파일이 무단된 수정을 인해 손상되었을 수 있습니다.
5056	암호화 자체 테스트가 수행되었습니다.
5057	암호화 기본 작업을 수행하지 못했습니다.
5060	확인 작업이 실패했습니다.
5061	암호화 작업입니다.
5062	커널 모드 암호화 자체 테스트 수행되었습니다.

슬라이드 노트

• 보다 반환하려면 관리자로 상승된 명령 프롬프트에서 다음 명령을 실행하여 모든 보안 감사 이벤트 항목의 목록을 자세히:
  wevtutil GP/ge/gm:true Microsoft-Windows-보안 감사
  출력의 일부를 보여 주는 예제입니다:

  event:
      value: 4706
      version: 0
      opcode: 0
      channel: 10
      level: 4
      task: 0
      keywords: 0x8000000000000000
      message: A new trust was created to a domain.
  Subject:
  	Security ID:		Security ID
  	Account Name:		Account Name
  Account Domain:	 Account Domain
  	Logon ID:		Logon ID
  Trusted Domain:
  	Domain Name:		Domain Name
  	Domain ID:		Domain ID
  Trust Information:
  	Trust Type:		Trust Type
  	Trust Direction:	Trust Direction
  	Trust Attributes:	Trust Attributes
  	SID Filtering:		SID Filtering

• 모든 보안 감사 범주와 목록을 반환할 관리자로 상승된 명령 프롬프트에서 다음 명령을 실행하십시오.
  auditpol/list/subcategory: *

위로 가기

참조

Wevtutil 유틸리티에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오. http://technet2.microsoft....