명령 감사 로그 사용

감사 로그는 MID 서버 기본적으로 false로 설정된 속성을 mid.log.command_audit.enable사용하여 MID 서버 활성화됩니다. MID 서버 속성 테이블 [ecc_agent_property_list.do]에 속성을 추가합니다. 활성화되면 명령 감사 로그는 MID 서버 다음으로 이동하여 인스턴스에서 액세스할 수 있습니다. MID 서버 > 명령 감사 로그 [ecc_agent_command_audit_log_list.do]입니다. 이 테이블을 보거나 변경하려면 사용자에게 역할 agent_security_admin 있어야 합니다.

명령 감사 로그에 기록된 데이터

명령 감사 로그는 MID 서버 명령 이름과 명령 해시를 기록합니다. 예를 들어 검색 중에 프로브가 명령을 실행하지 않고 대신 스크립트를 실행하면 스크립트 이름이 기록됩니다. 명령 해시는 이름에 관계없이 스크립트의 내용을 기반으로 계산됩니다. 따라서 이름을 변경해도 명령 해시에는 영향을 주지 않습니다.

WMIRunner와 같은 프로브가 여러 WMI 필드를 사용하여 명령을 실행하면 WMI는 하나의 스크립트를 만들어 해당 필드를 쿼리합니다. 스크립트는 호스트에서 임시 폴더에 임시 MID 서버 로 생성됩니다. 스크립트가 실행되면 임시 폴더에서 제거됩니다. 스크립트에는 필드와 임의의 숫자를 기반으로 이름이 지정됩니다. 그러나 해시 키는 동일한 내용에 따라 항상 동일합니다.

명령 감사 로그는 실행 상태를 성공 또는 실패로 보고합니다. 기록 항목은 명령이 실행된 경우 성공이고, 실행할 수 없는 경우 실패입니다. 명령 감사 로그는 실행 중인 명령의 결과를 고려하지 않습니다. 예를 들어 실행되지만 데이터 수집에 실패한 명령은 실행 상태에 여전히 성공으로 나열됩니다.

검색은 WinRM에 대한 JEA 프로파일을 지원합니다. 명령 감사 로그는 MID 서버 검색 명령의 JEA 프로파일(사용 가능한 경우)을 기록합니다. JEA 프로파일에 대한 자세한 내용은 Microsoft JEA(Just Enough Administration) for Discovery 를 참조하십시오.

기본적으로 테이블은 7일마다 교대됩니다. 자세한 내용은 테이블 회전을 참조하십시오.