Home
  •  

DHCP 2016 및 1709 이상의 감사 로깅 모니터

Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing (UnitMonitor)

이 모니터는 로그 감사가 구성되고 있는지 확인합니다.

Knowledge Base article:

요약

DHCPv6(Dynamic Host Configuration Protocol 버전 6) 런타임에는 DHCPv6 서버의 정상 작동 기능이 포함되어 있습니다. 이러한 기능의 예로 임대 발급, Rogue 검색 등이 있습니다.

DHCPv6(Dynamic Host Configuration Protocol 버전 6) 서버에는 여러 로깅 기능과 고급 감사 기능을 제공하는 서버 매개 변수가 포함되어 있습니다. 로그가 쌓이지 않도록 하거나 로그에 쓸 수 있는 권한을 서버에 제공하기 위해 로그 설정을 구성해야 할 수도 있습니다. 다음 속성을 구성하여 DHCP 서버 로그를 정상 상태로 유지할 수 있습니다.

원인

DHCPv6에서 감사 로그가 가득 찼거나 액세스할 수 없어 감사 로그에 쓸 수 없음을 확인했습니다. DHCP 서버는 계속해서 제대로 작동하지만, 로그에 쓸 수 있을 때까지 감사 이벤트가 기록되지 않습니다.

해결 방법

해결 방법: 이전 감사 로그 파일 제거 또는 최대 감사 로그 크기 증가

디스크가 가득 차거나 최대 로그 크기에 도달한 경우 DHCP 서버는 현재 파일을 닫고, 자정까지 또는 디스크 상태가 개선되고 디스크에 여유 공간이 생길 때까지 추가 감사 이벤트 로깅 요청을 무시합니다. 디스크가 가득 찬 경우 실제 디스크 공간을 추가하거나, 최대 감사 로그 크기를 늘리거나, 기본 로그 디렉터리 %windir%\System32\Dhcp에서 이전 로그 파일을 삭제할 수 있습니다.

이 절차를 수행하려면 Administrators 그룹 구성원이거나 적절한 권한을 위임받아야 합니다.

최대 감사 로그 크기를 늘리려면:

주의: 레지스트리를 잘못 편집하면 시스템이 심각하게 손상될 수 있습니다. 레지스트리를 변경하기 전에 중요한 데이터를 모두 백업해야 합니다.

추가 정보

검증 도구: 서버에서 DHCP 이벤트를 기록하고 있음

DHCP 감사 로그가 제대로 작동하는지 확인하려면:

Element properties:

TargetMicrosoft.Windows.DHCPServer.10.0.IPv6Runtime
Parent MonitorSystem.Health.SecurityState
CategoryStateCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityMatchMonitorHealth
Alert PriorityNormal
Alert Auto ResolveTrue
Monitor TypeMicrosoft.Windows.SingleEventLogManualReset2StateMonitorType
RemotableTrue
AccessibilityPublic
Alert Message
DHCP 2016 및 1709 이상의 감사 로깅 경고
{0}
RunAsDefault

Source Code:

<UnitMonitor ID="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">

  <Category>StateCollection</Category>

  <AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>MatchMonitorHealth</AlertSeverity>

    <AlertParameters>

      <AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>

    </AlertParameters>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>

    <OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

    <LogName>System</LogName>

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">10011</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-DHCP-Server</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </Configuration>

</UnitMonitor>