서버 / IT Windows 내 파일을 누가 삭제 했을까?

안녕하세요.

오늘은 업무를 진행하는 도중에

누군가 특정 폴더에 문서를 삭제하는 상황이 있었고,

삭제를 한 사용자를 찾다가 파일 삭제에 관한 로그를 남기는 방법이 있어서 소개드립니다.

간단하게 순서만 말씀을 먼저 드리자면,

1. 그룹 정책에서 개체 엑세스 감사 정책을 설정
2. 로그를 남기고 싶은 폴더에 감사 정책을 설정
3. 파일 삭제 후 로그확인(Event ID : 4663)

그럼 설정 방법 확인해보겠습니다.

• 그룹 정책에서 개체 엑세스 감사 정책을 설정
  (gpedit.msc -> 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 감사 정책 -> 개체 엑세스 감사(성공, 실패)
  

• 로그를 남기고 싶은 폴더에 감사 정책을 설정
  (해당 폴더 우클릭 -> 속성 -> 보안 -> 고급 -> 감사 -> 추가 -> 보안 주체 선택 -> everyone)
  

• 고급 권한 표시(필요한 권한에 대해서 설정 : 이번에는 삭제 부분만)
  

• 해당 폴더에서 파일 삭제 진행
• 이벤트 뷰어(보안)에서 4663 으로 로그 확인(로그 안에 계정 및 파일 정보 있음)

   

위와 같이 진행하시면 파일 삭제에 대한 감사가 가능하며, 권한에 따라 더 많은 감사도 가능합니다.

감사합니다.