이벤트뷰어 5156,5158 로그 대량생성 질문 드립니다.

안녕하세요 

항상 선배님들께 많은 지식 얻고있습니다.


MS 기술지원센터에서 지원이 안된다는 답변을 받고 이곳에 질문글을 올립니다.


현 상태는, 

폐쇠망안에 윈도우 AD에 연결된 윈도우 10, 7 PC에서 데이터 접근, 삭제등을 감시하고자 특정 폴더 보안감사 설정, 로컬 보안정책 중 '개체 액세스 감사-성공'을 지정해 놓은 상태입니다.


이때 이벤트 뷰어를 확인해보니, 이벤트 ID 5156,5158 '필터링 플랫폼 연결' 이라는 로그가 너무많이 생성되어 다른 로그들이 모두 덮여씌어지고 있었습니다.


로컬 보안정책을 활성화 해서 생기는 이벤트 로그같은데....


이때, 5156,5158 로그들이 왜 생성되는지, 보안정책을 활성화 한 상태로 저 두개 이벤트 로그만 생성되지 않게 막을순 없는지 궁금합니다.


감사합니다.

태그가 없습니다.

8개의 답변이 있습니다.

1 추천 | 약 한 달 전

질의 남긴 '필터링 플랫폼 연결'과 관련된 이벤트 ID 5156, 5158은 WFP에 의해 생성됩니다.

WFP는 윈도우즈 필터링 플랫폼으로 방화벽, 침입 탐지 및 기타 보안 관련 기능과 같은 기능을 제공하는 네트워크 트래픽 처리 프랫폼 입니다.

특히 ID 5156은 필터에 의해 네트워크 연결이 허용되거나 차단되고 있음을 나타냅니다.

ID 5158은 연결 요청에 대한 시스템의 결정을 나타냅니다.

이러한 이벤트는 WFP의 정상적인 작동의 일부이며 시스템의 방화벽 규칙이나 기타 보안 메커니즘에 의해 네트워크 트래픽이 처리될 때 종종 기록됩니다.

만약, 이러한 이벤트가 필요없다면

  • 필터링  통합: 이벤트 뷰어 또는 타사 이벤트 로그 관리 도구를 사용하여 로그를 필터링하거나 통합할  있습니다. 이를 통해 모니터링 목표와  관련성이 높은 이벤트에 집중하는 동시에 5156  5158과 같이  중요한 이벤트의 양을 줄이는  도움이   있습니다.


  • 감사 정책 조정: 특정 폴더  개체 액세스 감사 설정이 구성되어 있다고 언급했으므로 관심 있는 특정 이벤트에 초점을 맞추기 위해 감사 정책을 검토하고 조정하는 것이 좋습니다. 이렇게 하면 도움이   있습니다. 다른 감사 이벤트로 생성된 로그의 양을 줄입니다.


  • 방화벽 규칙 미세 조정: 네트워크 트래픽으로 인해 5156  5158 이벤트의 볼륨이 지나치게 높은 경우 불필요한 로깅을 줄이기 위해 방화벽 규칙을 검토하고 미세 조정해야   있습니다. 여기에는 특정 규칙에 대한 로깅 수준을 조정하거나 규칙 자체를 보다 구체적으로 구체화하는 작업이 포함될  있습니다.

보안 정책을 활성화한 상태에서 두개의 이벤트 로그만 생성되지 않도록 하려면 WFP 내에서 특정 이벤트 ID에 대한 로깅을 선택적으로 비활성화할 수 없습니다. 그러나 위에서 언급한 방법을 사용하면 이벤트 로그 저장 및 분서 프로세스에 대한 이러한 이벤트의 영향을 관리하고 완화할 수 있습니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

저도 정보 보고 갑니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

1st 5stars

0 추천 | 약 한 달 전

제외할 이벤트 ID 앞에 - ( 마이너스 기호 )를 붙여서 등록시키면 되지 않을까 싶네요.


Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

저도 정보 보고 갑니다. 감사합니다.

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

Windows는 문제점 해결에 있어 여러 방법이 있습니다.

해당 내용을 참고 하세요

이벤트 ID

5156

출처

마이크로소프트-윈도우-보안-감사

설명

윈도우 필터링 플랫폼은 연결을 허용했다.

지원 정보:
프로세스 ID: <프로세스 ID>
응용 프로그램 이름: <프로세스 ID>
네트워크 정보:
방향:<방향>
소스 주소:<소스 주소>
소스 포트:<소스 포트>
목적지 주소:<목적지 주소>
목적지 항구:<목적지 항구>
프로토콜:<프로토콜>
필터 정보:
필터 런타임 ID:<필터 런타임 ID>
레이어 이름: <레이어 이름>
레이어 런타임 ID:<레이어 런타임 ID>
     

원인 :
이 이벤트는 WFP가 프로그램이 TCP 또는 UDP 포트에서 다른 프로세스(동일하거나 원격 컴퓨터)에 연결할 수 있도록 할 때마다 기록됩니다.
해결책 :
이것은 정보 이벤트이며 사용자 조치가 필요하지 않습니다.

Reply

게시글 작성자 | 약 한 달 전

감사합니다!!

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

0 추천 | 약 한 달 전

event id 5156, 5158은

"개체 액세스 감사-성공" 감사정책 지정해서 생성되는 로그가 맞습니다.

 제외하시고 싶으시다면 필터링으로 아래와 같이 제외 해보세요.

auditpol /set /subcategory:"플랫폼 연결 필터링" /success:disable /failure:disable

이렇게 지정하면 플랫폼 연결 필터링 성공-실패 로그는 제외됩니다.

Reply

게시글 작성자 | 약 한 달 전

감사합니다!! 

Reply

댓글 남기기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

답변 달기

답변을 작성 하시려면 로그인이 필요합니다.

로그인 회원가입

IT 솔루션 또는 하드웨어 도입을 검토 중 이신가요?

쉐어드IT 솔루션 상담실에서 믿을 수 있는 제품과 업체를 추천 받으실 수 있습니다.

솔루션 상담실 IT 컨시어지 서비스

IT운영 카테고리의 다른 질문들...

  • 3일 전
  • 댓글 : 2일 전
  • 4일 전
  • 댓글 : 3일 전
  • 5일 전
  • 댓글 : 3일 전
  • 18일 전
  • 댓글 : 18일 전
  • 20일 전
  • 댓글 : 18일 전
  • 20일 전
  • 댓글 : 13일 전