반응형
auditpol 사용법
auditpol.exe tool을 이용해서
Windows의 그룹 정책 중
컴퓨터 구성\Windows 설정\보안 설정\고급 감사 정책 구성\시스템 감사 정책 - 로컬 그룹 정책 개체
Computer Contiguration\Policyies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies
에 해당하는 내용이 현재 어떻게 설정되어있는지 확인가능함.
auditpol 명령어 예제
[auditpol 모든 category 확인 명령어]
auditpol /get /category:*
[특정 subcategory 확인 명령어]
auditpol /get /Subcategory:'[확인하고자하는 subcategory name]' /r
ex)
영문 key 로 확인 = auditpol /get /Subcategory:'Security State Change' /r
한글 key 로 확인 = auditpol /get /Subcategory:'보안 상태 변경' /r
GUID key 로 확인 = auditpol /get /Subcategory:{0CCE9210-69AE-11D9-BED3-505054503030} /r
[subcategory guid list 확인 명령어]
auditpol /list /subcategory:* /r
auditpol 명령 Key string english, korea, GUID 매칭 표 정리
|
Key String
|
korea
|
GUID
|
|
Security State Change
|
보안 상태 변경
|
{0CCE9210-69AE-11D9-BED3-505054503030}
|
|
Security System Extension
|
보안 시스템 확장
|
{0CCE9211-69AE-11D9-BED3-505054503030}
|
|
System Integrity
|
시스템 무결성
|
{0CCE9212-69AE-11D9-BED3-505054503030}
|
|
IPsec Driver
|
IPsec 드라이버
|
{0CCE9213-69AE-11D9-BED3-505054503030}
|
|
Other System Events
|
기타 시스템 이벤트
|
{0CCE9214-69AE-11D9-BED3-505054503030}
|
|
Logon
|
로그온
|
{0CCE9215-69AE-11D9-BED3-505054503030}
|
|
Logoff
|
로그오프
|
{0CCE9216-69AE-11D9-BED3-505054503030}
|
|
Account Lockout
|
계정 잠금
|
{0CCE9217-69AE-11D9-BED3-505054503030}
|
|
IPsec Main Mode
|
IPsec 주 모드
|
{0CCE9218-69AE-11D9-BED3-505054503030}
|
|
IPsec Quick Mode
|
IPsec 빠른 모드
|
{0CCE9219-69AE-11D9-BED3-505054503030}
|
|
IPsec Extended Mode
|
IPsec 확장 모드
|
{0CCE921A-69AE-11D9-BED3-505054503030}
|
|
Special Logon
|
특수 로그온
|
{0CCE921B-69AE-11D9-BED3-505054503030}
|
|
Other Logon/Logoff Events
|
기타 로그온/로그오프 이벤트
|
{0CCE921C-69AE-11D9-BED3-505054503030}
|
|
Network Policy Server
|
네트워크 정책 서버
|
{0CCE9243-69AE-11D9-BED3-505054503030}
|
|
User/Device Claims
|
사용자/장치 클레임
|
{0CCE9247-69AE-11D9-BED3-505054503030}
|
|
Group Membership
|
그룹 구성원
|
{0CCE9249-69AE-11D9-BED3-505054503030}
|
|
File System
|
파일 시스템
|
{0CCE921D-69AE-11D9-BED3-505054503030}
|
|
Registry
|
레지스트리
|
{0CCE921E-69AE-11D9-BED3-505054503030}
|
|
Kernel Object
|
커널 개체
|
{0CCE921F-69AE-11D9-BED3-505054503030}
|
|
SAM
|
SAM
|
{0CCE9220-69AE-11D9-BED3-505054503030}
|
|
Certification Services
|
인증 서비스
|
{0CCE9221-69AE-11D9-BED3-505054503030}
|
|
Application Generated
|
응용 프로그램 생성됨
|
{0CCE9222-69AE-11D9-BED3-505054503030}
|
|
Handle Manipulation
|
핸들 조작
|
{0CCE9223-69AE-11D9-BED3-505054503030}
|
|
File Share
|
파일 공유
|
{0CCE9224-69AE-11D9-BED3-505054503030}
|
|
Filtering Platform Packet Drop
|
필터링 플랫폼 패킷 삭제
|
{0CCE9225-69AE-11D9-BED3-505054503030}
|
|
Filtering Platform Connection
|
필터링 플랫폼 연결
|
{0CCE9226-69AE-11D9-BED3-505054503030}
|
|
Other Object Access Events
|
기타 개체 액세스 이벤트
|
{0CCE9227-69AE-11D9-BED3-505054503030}
|
|
Detailed File Share
|
세부 파일 공유
|
{0CCE9244-69AE-11D9-BED3-505054503030}
|
|
Removable Storage
|
이동식 저장소
|
{0CCE9245-69AE-11D9-BED3-505054503030}
|
|
Central Access Policy Staging
|
중앙 정책 준비
|
{0CCE9246-69AE-11D9-BED3-505054503030}
|
|
Sensitive Privilege Use
|
중요한 권한 사용
|
{0CCE9228-69AE-11D9-BED3-505054503030}
|
|
Non Sensitive Privilege Use
|
중요하지 않은 권한 사용
|
{0CCE9229-69AE-11D9-BED3-505054503030}
|
|
Other Privilege Use Events
|
기타 권한 사용 이벤트
|
{0CCE922A-69AE-11D9-BED3-505054503030}
|
|
Process Creation
|
프로세스 만들기
|
{0CCE922B-69AE-11D9-BED3-505054503030}
|
|
Process Termination
|
프로세스 종료
|
{0CCE922C-69AE-11D9-BED3-505054503030}
|
|
DPAPI Activity
|
DPAPI 작업
|
{0CCE922D-69AE-11D9-BED3-505054503030}
|
|
RPC Events
|
RPC 이벤트
|
{0CCE922E-69AE-11D9-BED3-505054503030}
|
|
PNP Activity
|
플러그 앤 플레이 이벤트
|
{0CCE9248-69AE-11D9-BED3-505054503030}
|
|
Token Right Adjusted Events
|
토큰 권한 조정 이벤트
|
{0CCE924A-69AE-11D9-BED3-505054503030}
|
|
Audit Policy Change
|
감사 정책 변경
|
{0CCE922F-69AE-11D9-BED3-505054503030}
|
|
Authentication Policy Change
|
인증 정책 변경
|
{0CCE9230-69AE-11D9-BED3-505054503030}
|
|
Authorization Policy Change
|
권한 부여 정책 변경
|
{0CCE9231-69AE-11D9-BED3-505054503030}
|
|
MPSSVC Rule-Level Policy Change
|
MPSSVC 규칙 수준 정책 변경
|
{0CCE9232-69AE-11D9-BED3-505054503030}
|
|
Filtering Platform Policy Change
|
필터링 플랫폼 정책 변경
|
{0CCE9233-69AE-11D9-BED3-505054503030}
|
|
Other Policy Change Events
|
기타 정책 변경 이벤트
|
{0CCE9234-69AE-11D9-BED3-505054503030}
|
|
User Account Management
|
사용자 계정 관리
|
{0CCE9235-69AE-11D9-BED3-505054503030}
|
|
Computer Account Management
|
컴퓨터 계정 관리
|
{0CCE9236-69AE-11D9-BED3-505054503030}
|
|
Security Group Management
|
보안 그룹 관리
|
{0CCE9237-69AE-11D9-BED3-505054503030}
|
|
Distribution Group Management
|
메일 그룹 관리
|
{0CCE9238-69AE-11D9-BED3-505054503030}
|
|
Application Group Management
|
응용 프로그램 그룹 관리
|
{0CCE9239-69AE-11D9-BED3-505054503030}
|
|
Other Account Management Events
|
기타 계정 관리 이벤트
|
{0CCE923A-69AE-11D9-BED3-505054503030}
|
|
Directory Service Access
|
디렉터리 서비스 액세스
|
{0CCE923B-69AE-11D9-BED3-505054503030}
|
|
Directory Service Changes
|
디렉터리 서비스 변경
|
{0CCE923C-69AE-11D9-BED3-505054503030}
|
|
Directory Service Replication
|
디렉터리 서비스 복제
|
{0CCE923D-69AE-11D9-BED3-505054503030}
|
|
Detailed Directory Service Replication
|
세부 디렉터리 서비스 복제
|
{0CCE923E-69AE-11D9-BED3-505054503030}
|
|
Credential Validation
|
자격 증명 유효성 검사
|
{0CCE923F-69AE-11D9-BED3-505054503030}
|
|
Kerberos Service Ticket Operations
|
Kerberos 서비스 티켓 작업
|
{0CCE9240-69AE-11D9-BED3-505054503030}
|
|
Other Account Logon Events
|
기타 계정 로그온 이벤트
|
{0CCE9241-69AE-11D9-BED3-505054503030}
|
|
Kerberos Authentication Service
|
Kerberos 인증 서비스
|
{0CCE9242-69AE-11D9-BED3-505054503030}
|
참고
반응형
'OS > Windows' 카테고리의 다른 글
| 유니코드, 멀티바이트 차이점 리서치 (1) | 2022.01.09 |
|---|---|
| Windows SID란? (0) | 2022.01.09 |
| Windows 폴더 경로가 길 경우 단축 시키는 방법 (0) | 2022.01.09 |
| NSIS (Nullsoft Scriptable Install System) (0) | 2022.01.09 |
| secedit 명령 리서치 (6) | 2022.01.09 |