이 모니터는 로그 감사가 구성되고 있는지 확인합니다.
DHCPv6(Dynamic Host Configuration Protocol 버전 6) 런타임에는 DHCPv6 서버의 정상 작동 기능이 포함되어 있습니다. 이러한 기능의 예로 임대 발급, Rogue 검색 등이 있습니다.
DHCPv6(Dynamic Host Configuration Protocol 버전 6) 서버에는 여러 로깅 기능과 고급 감사 기능을 제공하는 서버 매개 변수가 포함되어 있습니다. 로그가 쌓이지 않도록 하거나 로그에 쓸 수 있는 권한을 서버에 제공하기 위해 로그 설정을 구성해야 할 수도 있습니다. 다음 속성을 구성하여 DHCP 서버 로그를 정상 상태로 유지할 수 있습니다.
감사 로그 파일 경로
최대 크기 제한
디스크 검사 간격
최소 크기 요구 사항
DHCPv6에서 감사 로그가 가득 찼거나 액세스할 수 없어 감사 로그에 쓸 수 없음을 확인했습니다. DHCP 서버는 계속해서 제대로 작동하지만, 로그에 쓸 수 있을 때까지 감사 이벤트가 기록되지 않습니다.
해결 방법: 이전 감사 로그 파일 제거 또는 최대 감사 로그 크기 증가
디스크가 가득 차거나 최대 로그 크기에 도달한 경우 DHCP 서버는 현재 파일을 닫고, 자정까지 또는 디스크 상태가 개선되고 디스크에 여유 공간이 생길 때까지 추가 감사 이벤트 로깅 요청을 무시합니다. 디스크가 가득 찬 경우 실제 디스크 공간을 추가하거나, 최대 감사 로그 크기를 늘리거나, 기본 로그 디렉터리 %windir%\System32\Dhcp에서 이전 로그 파일을 삭제할 수 있습니다.
이 절차를 수행하려면 Administrators 그룹 구성원이거나 적절한 권한을 위임받아야 합니다.
최대 감사 로그 크기를 늘리려면:
주의: 레지스트리를 잘못 편집하면 시스템이 심각하게 손상될 수 있습니다. 레지스트리를 변경하기 전에 중요한 데이터를 모두 백업해야 합니다.
[시작]을 클릭하고 [검색 시작]에 regedit를 입력한 다음 [계속]을 클릭하고 <Enter> 키를 누릅니다.
레지스트리 트리에서 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters로 이동한 다음, <Enter> 키를 누릅니다.
DhcpLogFilesMaxSize를 두 번 클릭하고 [10진수]를 선택한 다음 [값 데이터]에 현재 숫자보다 큰 숫자를 입력합니다.
검증 도구: 서버에서 DHCP 이벤트를 기록하고 있음
DHCP 감사 로그가 제대로 작동하는지 확인하려면:
DHCP 서버 컴퓨터에서 [시작]을 클릭하고 [검색 시작]에 Windows 탐색기를 입력한 다음 <Enter> 키를 누릅니다.
Windows 탐색기 트리에서 %windir%\System32\Dhcp로 이동합니다.
가장 최근 DHCP 로그 파일 날짜 스탬프를 보고 기록합니다. 최근이어야 합니다. 이 프로세스를 정기적으로 반복하고 새 이벤트가 기록되고 있는지 확인합니다.
Target | Microsoft.Windows.DHCPServer.10.0.IPv6Runtime | ||
Parent Monitor | System.Health.SecurityState | ||
Category | StateCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogManualReset2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing" Accessibility="Public" Enabled="true" Target="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime" ParentMonitorID="Health!System.Health.SecurityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" ConfirmDelivery="true">
<Category>StateCollection</Category>
<AlertSettings AlertMessage="Microsoft.Windows.DHCPServer.10.0.IPv6Runtime.UnitMonitor.Auditing_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="Warning" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="Success" MonitorTypeStateID="ManualResetEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10011</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-DHCP-Server</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</Configuration>
</UnitMonitor>