이벤트 로깅 보안
보안 로그는 시스템에서 사용하도록 설계되었습니다. 그러나 사용자는 SE_SECURITY_NAME 권한("감사 및 보안 로그 관리" 사용자 권한)이 부여된 경우 보안 로그를 읽고 지울 수 있습니다. 자세한 내용은 권한을 참조하세요.
Lsass.exe(로컬 보안 기관)만 보안 로그에 대한 쓰기 권한이 있습니다. 다른 어떤 계정도 이 권한을 요청할 수 없습니다. 보안 로그에 이벤트를 쓰려면 AuthzReportSecurityEvent 함수를 사용합니다.
애플리케이션 로그, 시스템 로그 및 사용자 지정 로그에 대한 액세스가 제한됩니다. 시스템은 스레드가 실행 중인 계정에 부여된 액세스 권한에 따라 액세스 권한을 부여합니다. 다음 표에서는 이벤트 로깅 함수에 필요한 액세스 유형을 보여 줍니다.
| 액세스 권한 | 설명 |
|---|---|
| ELF_LOGFILE_CLEAR(0x0004) | ClearEventLog에 필요합니다. |
| ELF_LOGFILE_READ(0x0001) | OpenBackupEventLog 및 OpenEventLog에 필요합니다. |
| ELF_LOGFILE_WRITE(0x0002) | RegisterEventSource에 필요합니다. |
CustomSD 레지스트리 값을 사용하여 애플리케이션 로그, 시스템 로그 및 사용자 지정 로그의 보안을 구성합니다. 자세한 내용은 Eventlog 키를 참조하세요.
Windows XP/2000: 다음 표에서는 각 로그의 각 계정에 대해 부여된 액세스 권한에 대해 설명합니다.
| 로그 | 계정 | 읽기 | 쓰기 | 지우기 |
|---|---|---|---|---|
| 애플리케이션 | 관리자(시스템) | X | X | X |
| 관리자(도메인) | X | X | X | |
| LocalSystem | X | X | X | |
| 대화형 사용자 | X | X | ||
| 시스템 | 관리자(시스템) | X | X | X |
| 관리자(도메인) | X | X | ||
| LocalSystem | X | X | X | |
| 대화형 사용자 | X | |||
| 사용자 지정 | 관리자(시스템) | X | X | X |
| 관리자(도메인) | X | X | X | |
| LocalSystem | X | X | X | |
| 대화형 사용자 | X | X |
게스트 계정의 멤버에게 액세스 권한을 부여하려면 다음 레지스트리 값을 변경합니다.
Hkey_local_machine\시스템\CurrentControlSet\서비스\Eventlog\로그\RestrictGuestAccess