누가 로그인했고 언제 로그인했는지 기록할 수 있도록 Windows에서 사용자 로그온 활동을 추적할 수 있는지 궁금하신가요? 이것은 로그온 감사 기능을 사용하는 Windows 시스템에서 완벽하게 가능합니다. 사용자 로그인 및 로그오프 활동 추적은 데이터가 기밀인 서버 또는 조직 환경과 Windows 시스템에서 '누가 수행했는지'만 알고 싶은 상황에서 매우 유용합니다. 기본적으로 로그온 감사 기능은 Windows에서 비활성화되어 있습니다. 이 기사에서는 로그온 감사를 활성화하는 방법과 Windows 시스템에서 이러한 추적 이벤트를 확인하는 방법을 살펴보겠습니다.
참고: 로그온 감사는 Windows 8의 Pro, Ultimate 및 Enterprise 버전에서만 사용할 수 있습니다.
로그온 감사란 무엇입니까
로그온 감사는 Windows 관리자가 로컬 컴퓨터 또는 네트워크를 통한 사용자 로그인 및 로그오프 활동의 각 인스턴스를 기록 및 감사할 수 있도록 하는 기본 제공 Windows 그룹 정책 설정입니다. 로그인 및 로그오프 이벤트 태킹과 함께 이 기능은 로그인 시도 실패를 추적할 수도 있습니다. 이는 Windows 시스템에 대한 공격을 결정하고 분석하는 데 특히 유용합니다.
로그온 감사 활성화
로그온 감사를 활성화하려면 Windows 그룹 정책 설정을 구성해야 합니다. "Win + R"을 누르고 gpedit.msc를 입력합니다. Enter 버튼을 눌러 Windows 그룹 정책 편집기를 엽니다.
그룹 정책 편집기에서 "컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책"으로 이동한 다음 왼쪽 창에서 "정책 감사"를 선택합니다.
위의 작업은 오른쪽 창에 몇 가지 정책을 표시합니다. 여기에서 "로그온 이벤트 감사" 정책을 두 번 클릭하여 엽니다. "로그온 이벤트 감사"는 완전히 다른 목적을 위한 설정이므로 "계정 로그온 이벤트 감사"와 혼동하지 마십시오.
창이 열리면 "성공" 및 "실패" 확인란을 모두 선택합니다. 이제 "적용" 및 "확인" 버튼을 클릭하여 변경 사항을 저장하십시오.
할 일이 그것뿐입니다. 이 시점부터 모든 로그인, 로그오프 및 로그인 시도 실패는 이벤트 뷰어에 이벤트로 기록됩니다.
로그온 감사 이벤트 보기
Windows 이벤트 뷰어에서 모든 로그인, 로그오프 및 로그인 시도 실패 이벤트를 볼 수 있습니다. 시작 메뉴에서 검색하여 이벤트 뷰어를 실행할 수 있습니다. Windows 8을 사용하는 경우 고급 사용자 메뉴(Win + X)를 사용하여 동일한 것을 실행할 수 있습니다.
이벤트 뷰어를 실행한 후 Windows 로그로 이동한 다음 보안 탭으로 이동합니다.
여기에서 Windows 시스템에서 발생한 모든 보안 관련 이벤트를 찾을 수 있습니다. 'Audit Success'라는 키워드를 더블 클릭하면 로그인 또는 로그아웃한 사용자, 타임스탬프 등의 세부정보를 확인할 수 있습니다. 팁으로 '이벤트 ID'를 사용하여 이벤트 로그를 필터링할 수 있습니다. " 또는 "작업 범주". 아래 이미지에서 볼 수 있듯이 Logon Auditing은 실패한 로그인 시도도 추적합니다.
할 수 있는 일은 이것이 전부이며 Windows 시스템에서 사용자 로그인을 추적하는 것은 간단합니다.
도움이 되기를 바랍니다. Windows에서 로그온 감사 기능을 활성화하는 동안 문제가 발생하면 아래에 의견을 말하십시오.