명령 감사 로그 사용

MID 서버 감사 로그는 기본적으로 false로 설정되는 속성mid.log.command_audit.enable으로 MID 서버 활성화됩니다. MID 서버 속성 테이블 [ecc_agent_property_list.do]에 속성을 추가합니다. 사용하도록 설정한 MID 서버 후에는 다음으로 이동하여 인스턴스에서 명령 감사 로그에 액세스할 수 있습니다. MID 서버 > 명령 감사 로그 [ecc_agent_command_audit_log_list.do]입니다. 이 테이블을 보거나 변경하려면 사용자에게 agent_security_admin 역할이 있어야 합니다.

명령 감사 로그에 기록된 데이터

MID 서버 명령 감사 로그는 명령 이름과 명령 해시를 기록합니다. 예를 들어 Discovery 중에 프로브가 명령을 실행하지 않고 대신 스크립트를 실행하는 경우 스크립트 이름이 기록됩니다. 명령 해시는 이름에 관계없이 스크립트의 내용에 따라 계산됩니다. 따라서 이름을 변경해도 명령 해시에는 영향을 주지 않습니다.

프로브(예: WMIRunner)가 여러 WMI 필드가 있는 명령을 실행하면 WMI는 해당 필드를 쿼리하는 하나의 스크립트를 만듭니다. 스크립트는 호스트의 MID 서버 임시 폴더에 임시로 생성됩니다. 스크립트가 실행되면 임시 폴더에서 제거됩니다. 스크립트에는 필드와 난수에 따라 이름이 지정됩니다. 그러나 해시 키는 동일한 내용으로 인해 항상 동일합니다.

명령 감사 로그는 실행 상태를 성공 또는 실패로 보고합니다. 명령이 실행된 경우 기록 항목은 성공이고, 실행할 수 없는 경우 실패입니다. 명령 감사 로그는 실행 중인 명령의 결과를 고려하지 않습니다. 예를 들어 실행되지만 데이터 수집에 실패한 명령은 실행 상태에 성공으로 계속 나열됩니다.

검색은 WinRM에 대한 JEA 프로파일을 지원합니다. MID 서버 명령 감사 로그는 검색 명령의 JEA 프로파일을 기록합니다(사용 가능한 경우). JEA 프로파일에 대한 자세한 내용은 검색을 위한 Microsoft JEA(Just Enough Administration) 를 참조하십시오.

기본적으로 테이블은 7일마다 교체됩니다. 자세한 내용은 테이블 교대 단원을 참조하십시오.