윈도우에서 파일 복사나 이동 등의 이벤트 로그를 기록 하나요?

쓰기

윈도우에서 파일 복사나 이동 등의 이벤트 로그를 기록 하나요?

홀릭0o0

2019-03

2019-03-20 00:41:43

조회 17392 추천 0

안녕하세요

요즘 보면 데이타복원이나 뭐 포렌식 복원 이런 말들 많이 하는데

PC에서 파일을 복사 붙여넣기 하거나 또는 외장하드 등에 복사했을때 관련 이벤트 로그가 윈도우 내에 쌓이는지 궁금합니다.

혹은 어떤 방법으로든 알아내거나 그 기록을 보존할 프로그램이 있을까요?

혹은 그런 프로그램을 개발하려면 어디로 가서 문의를 해봐야하는지도 궁금합니다.

저희 가족분 회사 보안에 이슈가 있어서 저도 알아보는 중인데 DLP 솔루션 같은것들이 보면 불필요한 기능들만 잔뜩 있더라구요.

이왕이면 로그를 서버로 보내고 DB에 기록을 쌓으면서 문제가 될만한건 바로 알림이 뜨도록 하고싶은데

저도 개발일을 하지만 이쪽분야는 전혀 모르겠어서 질문드려봅니다.

아시는분 답변 좀 부탁드립니다~

짧은글 일수록 신중하게.



무아 2019-03 닷넷을 써서 예를 들자면 FileSystemWatcher 를 써서 모니터링을 할 수 있습니다. 보통은 특정 폴더에 파일 이벤트를 모니터링할 수 있는데 IncludeSubdirectories 속성을 설정하여 하위 폴더까지 모니터링 될 겁니다. https://docs.microsoft.com/ko-kr/dotnet/api/system.io.filesystemwatcher.includesubdirectories?view=netframework-4.7.2 닷넷을 써서 예를 들자면 FileSystemWatcher 를 써서 모니터링을 할 수 있습니다. 보통은 특정 폴더에 파일 이벤트를 모니터링할 수 있는데 IncludeSubdirectories 속성을 설정하여 하위 폴더까지 모니터링 될 겁니다. https://docs.microsoft.com/ko-kr/dotnet/api/system.io.filesystemwatcher.includesubdirectories?view=netframework-4.7.2



리얼홀릭 2019-03 개발을 위한 코드이군요 기본적으로 윈도우 이벤트로그 등에서는 기록되지 않을까요? 개발을 위한 코드이군요 기본적으로 윈도우 이벤트로그 등에서는 기록되지 않을까요?



무아 2019-03 기본적인 윈도우 이벤트에는 없겠죠. 그리고 어짜피 로그를 서버로 보내고 하려면 개발을 해야하지 않을까요? 간단하게 기능만 구현한다면 c# 으로 뚝딱 거려면 금방 나올 거 같고. 백그라운드로 숨긴다던가 그런 것들이 귀찮게 손이 많이 가겠죠. 그리고 외장하드 같은 거는 모니터링 되겠지만 네트워크 드라이브로 붙인다거나 클라우드로 붙이는 것들은 저 코드로 안될듯 합니다. https://www.raymond.cc/blog/3-portable-tools-monitor-files-folders-changes/ 이런 어플도 있네요. 기본적인 윈도우 이벤트에는 없겠죠. 그리고 어짜피 로그를 서버로 보내고 하려면 개발을 해야하지 않을까요? 간단하게 기능만 구현한다면 c# 으로 뚝딱 거려면 금방 나올 거 같고. 백그라운드로 숨긴다던가 그런 것들이 귀찮게 손이 많이 가겠죠. 그리고 외장하드 같은 거는 모니터링 되겠지만 네트워크 드라이브로 붙인다거나 클라우드로 붙이는 것들은 저 코드로 안될듯 합니다. https://www.raymond.cc/blog/3-portable-tools-monitor-files-folders-changes/ 이런 어플도 있네요.



구차니 2019-03 audit 으로 어떻게 안될까요? audit 으로 어떻게 안될까요?



epowergate 2019-03 이게 만만치가 않습니다. 대부분 SDK에서 제공하는 event가 너무 많습니다. Office 파일하나 open-write-save-close하면 약 20개의 이벤트가 발생합니다. 저희 고객중에 PC가 120대 (MAC 20대 포함) 환경에서 자체적으로 만들었는데 1일에 20만게 정도의 이벤트가 저장이 됩니다. 다시말하면 아무짝에도 쓸때가 없는 그냥 LOG일 뿐입니다. 만약 만드신다면 어떻게 저장할까를 생각하기전에 어떻게 분석를 할까를 먼저 생각하셔야 합니다 이게 만만치가 않습니다. 대부분 SDK에서 제공하는 event가 너무 많습니다. Office 파일하나 open-write-save-close하면 약 20개의 이벤트가 발생합니다. 저희 고객중에 PC가 120대 (MAC 20대 포함) 환경에서 자체적으로 만들었는데 1일에 20만게 정도의 이벤트가 저장이 됩니다. 다시말하면 아무짝에도 쓸때가 없는 그냥 LOG일 뿐입니다. 만약 만드신다면 어떻게 저장할까를 생각하기전에 어떻게 분석를 할까를 먼저 생각하셔야 합니다



Christopher 2019-03 Process Monitor로 모니터링이 되기는 한던데 용도에 맞을지는 모르겠습니다.... Process Monitor로 모니터링이 되기는 한던데 용도에 맞을지는 모르겠습니다....

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1396/5729

번호	제목Page 1396/5729	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (737)	정은준1	2014-05	5263766	0
[필독] 처음 오시는 분을 위한 안내 (737) 2014-05 5263766 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1788712	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1788712 1 백메가
86671	2CPU 선생님들 안녕하세요 ㅠㅠ (4)	인천이승현	2018-08	3875	0
2CPU 선생님들 안녕하세요 ㅠㅠ (4) 2018-08 3875 1 인천이승현
86670	레이드카드 로그 확인해주실수 있나요? (4)	inquisitive	2015-08	3875	0
레이드카드 로그 확인해주실수 있나요? (4) 2015-08 3875 1 inquisitive
86669	SSD는 왜 3.5인치 규격으로 나오지 않나요? (13)	봉래	2022-01	3875	0
SSD는 왜 3.5인치 규격으로 나오지 않나요? (13) 2022-01 3875 1 봉래
86668	ZFS OS선택 질문드립니다. (10)	PiPPuuP	2014-11	3875	0
ZFS OS선택 질문드립니다. (10) 2014-11 3875 1 PiPPuuP
86667	노키아800터프 우리나라에서 사용가능하나요 (3)	LINKINPARK	2020-03	3875	0
노키아800터프 우리나라에서 사용가능하나요 (3) 2020-03 3875 1 LINKINPARK
86666	CPU에 세대라는것이 있는데, 이게 뭔지 궁금합니다. (4)	evoker	2016-01	3875	0
CPU에 세대라는것이 있는데, 이게 뭔지 궁… (4) 2016-01 3875 1 evoker
86665	취미로 프로그래밍...	나파이강승훈	2014-12	3875	0
취미로 프로그래밍... 2014-12 3875 1 나파이강승훈
86664	hp cpu문의드립니다. (4)	슬루프	2016-01	3875	0
hp cpu문의드립니다. (4) 2016-01 3875 1 슬루프
86663	윈도우 8.1에서 82574L 내장랜이 접속 끈어지는 문제 있는분 안계신가요? (3)	미수맨	2015-05	3876	0
윈도우 8.1에서 82574L 내장랜이 접속 끈… (3) 2015-05 3876 1 미수맨
86662	미크로틱 펌웨어 다운그레이드가 안되네요 (2)	블랙펄	2018-07	3876	0
미크로틱 펌웨어 다운그레이드가 안되네요 (2) 2018-07 3876 1 블랙펄
86661	홈 네트웍에서 DHCP 서버스 돌릴때 domain-name-servers (2)	분노의다운힐	2015-10	3876	0
홈 네트웍에서 DHCP 서버스 돌릴때 domain… (2) 2015-10 3876 1 분노의다운힐
86660	시놀로지NAS 수리 어디서 받을수있나요 (10)	xMir	2021-09	3876	0
시놀로지NAS 수리 어디서 받을수있나요 (10) 2021-09 3876 1 xMir
86659	Window10 재설치 방법에 대해 문의드립니다. (6)	PCPCMAN	2017-07	3876	2
Window10 재설치 방법에 대해 문의드립니… (6) 2017-07 3876 1 PCPCMAN
86658	Xeon Prod 서버가 i9 Dev 보다 빠릅니다 (8)	우킷스	2020-06	3876	0
Xeon Prod 서버가 i9 Dev 보다 빠릅니다 (8) 2020-06 3876 1 우킷스
86657	Z820 삼성 SSD 인식문제.. (4)	여수I완스	2019-05	3876	0
Z820 삼성 SSD 인식문제.. (4) 2019-05 3876 1 여수I완스
86656	. (3)	초보IT	2016-09	3876	0
. (3) 2016-09 3876 1 초보IT
86655	파일서버를 구축할건데요, 좋은 방법 좀 부탁드립니다. (8)	나비z	2014-04	3876	0
파일서버를 구축할건데요, 좋은 방법 좀 … (8) 2014-04 3876 1 나비z
86654	이럴땐 bat 명령어를 어떻게 주면 될까요? (3)	파이아	2016-06	3876	0
이럴땐 bat 명령어를 어떻게 주면 될까요? (3) 2016-06 3876 1 파이아
86653	960 pro 속도 한번 봐주세요 (1)	죠슈아	2018-05	3876	0
960 pro 속도 한번 봐주세요 (1) 2018-05 3876 1 죠슈아
86652	xe에서 기간을 정해서 특별 회원을 관리하는 방법은 없나요? (1)	병맛폰	2014-12	3876	0
xe에서 기간을 정해서 특별 회원을 관리하… (1) 2014-12 3876 1 병맛폰