Home
  •  

원본이 CertificationAuthority이고 ID가 5인 이벤트에 대한 수집 규칙

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.5 (Rule)

인증서 서비스가 필수 레지스트리 정보를 찾지 못했습니다.

Knowledge Base article:

요약

Active Directory 인증서 서비스가 필요한 레지스트리 정보를 찾지 못했습니다. 인증 기관을 다시 설치해야 할 수 있습니다.

해결 방법

이 절차를 수행하려면 로컬 관리자 권한이 있거나 적절한 권한을 위임받아야 합니다.

주의: 레지스트리를 잘못 편집하면 시스템이 심각하게 손상될 수 있습니다. 레지스트리를 변경하기 전에 중요한 데이터를 모두 백업해야 합니다.

레지스트리 관련 문제를 해결하려면:

CA를 호스트하는 컴퓨터에서 시작을 클릭하고 regedit를 입력한 다음 Enter 키를 누릅니다.

위에 나열된 레지스트리 구성 설정을 살펴보고 잘못된 값을 수정합니다.

시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.

CA 이름을 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭합니다.

추가 정보

CA(인증 기관) 레지스트리 설정을 확인하려면:

CA에 대한 레지스트리 설정 변경을 마친 후에 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.

CA 이름을 선택하고 다시 시작을 클릭합니다. 

시작을 클릭하고 cmd를 입력한 다음 Enter 키를 누릅니다.

certutil -getreg ca\security를 입력하고 Enter 키를 누릅니다.

추가로 손상된 설정이 없는 경우 -getreg command completed successfully라는 텍스트가 나타납니다. 

Element properties:

TargetMicrosoft.Windows.CertificateServices.CARole.2016
CategoryEventCollection
EnabledTrue
Event_ID5
Event SourceMicrosoft-Windows-CertificationAuthority
Alert GenerateTrue
Alert SeverityError
Alert PriorityHigh
RemotableTrue
Alert Message
AD CS 레지스트리 설정 - 잘못된 레지스트리
이벤트 설명: {0}
Event LogApplication

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default
WriteToCertSvcEvents WriteAction Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher Default
WriteToDB WriteAction Microsoft.SystemCenter.CollectEvent Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.5" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">5</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDa6eb33f7d82e48b5a7aa82f239e48eba"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>