Windows 이벤트 로그 사용
Windows LAPS(Windows 로컬 관리자 암호 솔루션)에는 전용 이벤트 로그 채널이 있습니다. 모든 Windows LAPS 작업은 풍부한 이벤트로 추적합니다. 주요 이벤트 및 로그를 보는 방법을 알아봅니다.
이벤트 로그 보기
Windows LAPS 이벤트 로그 채널을 보려면 Windows Server 이벤트 뷰어 애플리케이션 및 서비스>로그>Microsoft>Windows>LAPS>운영으로 이동합니다.
주요 이벤트
몇 가지 주요 Windows LAPS 이벤트 및 이벤트 로그에서 해당 이벤트를 보는 방법을 알고 있어야 합니다.
- 정책 처리 시작 및 종료 이벤트
- 정책 구성 세부 정보
- 암호 업데이트 확인 이벤트
- 차단된 외부 암호 수정 요청
- Post-authentication-action 관련 이벤트
정책 처리 주기 시작 및 종료
Windows LAPS가 백그라운드 정책 처리 주기를 시작하면 이벤트 로그에서 작업 진행률을 추적합니다. 각 주기의 시작과 끝을 나타내는 특정 이벤트를 알면 이벤트 로그를 쉽게 읽고 이벤트를 파악할 수 있습니다.
각 백그라운드 정책 처리 주기는 10003 이벤트로 시작됩니다.
LAPS policy processing is now starting.
각 10003 이벤트에는 무슨 일이 일어나고 있는지 설명하는 다른 여러 이벤트가 뒤이어 있습니다. 주기가 완료되면 최종 이벤트는 작업을 성공 또는 실패로 표시합니다.
성공 주기는 10004 이벤트로 추적합니다. 다음은 10004 이벤트의 예입니다.
LAPS policy processing succeeded.
실패 주기는 10005 이벤트로 추적합니다. 다음은 10005 이벤트의 예입니다.
LAPS policy processing failed with the error code below.
Error code: 80070032
장애가 발생하면 오류 코드를 사용하여 문제를 해결할 수 있습니다. 자세한 내용은 중간 이벤트에서 확인할 수도 있습니다.
정책 구성 세부 정보
암호 백업을 사용하도록 설정하면 각 Windows LAPS 백그라운드 정책 처리 주기 동안 정책 구성 이벤트가 내보내집니다. 이벤트는 각 주기 반복에 대한 특정 정책 설정 값을 기록합니다.
Windows Server Active Directory에 암호를 백업하도록 정책을 구성하면 10021 이벤트가 로그됩니다. 다음은 10021 이벤트의 예입니다.
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
Microsoft Entra ID에 암호를 백업하도록 정책을 구성하면 10022 이벤트가 로그됩니다. 다음은 10022 이벤트의 예입니다.
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
레거시 Microsoft LAPS 정책을 사용하도록 Windows LAPS를 구성하면 10023 이벤트가 로그됩니다. 다음은 10023 이벤트의 예입니다.
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
이러한 특정 정책 설정 값은 예제이며 권장 사항으로 간주해서는 안 됩니다.
암호 업데이트 확인 이벤트
Windows LAPS가 구성된 디렉터리(Windows Server Active Directory 또는 Microsoft Entra ID)를 새 암호로 성공적으로 업데이트하면 성공 이벤트가 로그됩니다. Windows Server Active Directory의 암호 업데이트는 10018, Microsoft Entra ID의 암호 업데이트는 10029입니다.
다음은 10018 이벤트의 예입니다.
LAPS successfully updated Active Directory with the new password.
다음은 10029 이벤트의 예입니다.
LAPS successfully updated Azure Active Directory with the new password.
디렉터리가 새 암호로 업데이트되면 Windows LAPS도 관리 로컬 계정을 업데이트합니다. 10020 이벤트는 성공에 기록됩니다.
다음은 10020 이벤트의 예입니다.
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
차단된 외부 암호 수정 요청
Windows LAPS를 사용 설정하면 지정된 관리 계정에 대한 암호가 Windows LAPS 이외의 엔터티에 의해 수정되지 않도록 보호됩니다. 암호 변경 시도가 차단되면 10031 이벤트가 로그됩니다.
다음은 10031 이벤트의 예입니다.
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
인증 후 작업 이벤트
인증 후 작업이 구성되면 Windows LAPS는 지정된 관리 계정의 성공적인 인증을 모니터링합니다. 인증이 감지되면 10041 이벤트가 기록됩니다.
다음은 10041 이벤트의 예입니다.
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
10041 이벤트에 나열된 기한에 도달하면 Windows LAPS가 10042 이벤트를 로그합니다.
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
그런 다음 Windows LAPS는 암호를 순환하고 지정된 인증 후 작업을 실행하려고 시도합니다. 암호 순환에 성공하면 10044 이벤트가 로그됩니다.
다음은 10044 이벤트의 예입니다.
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
암호 순환에 실패하면 10043 이벤트가 로그됩니다. 다음은 10043 이벤트의 예입니다.
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
클라이언트 이벤트 로그 및 AD 도메인 컨트롤러 이벤트 로그
Windows LAPS 이벤트 로그 채널에는 클라이언트 역할을 하는 로컬 컴퓨터와 관련된 이벤트가 포함됩니다. Active Directory 도메인 컨트롤러의 Windows LAPS 이벤트 로그 채널에는 로컬 DSRM 계정 관리와 관련된 이벤트만 포함되며(사용 설정된 경우) 도메인에 가입된 클라이언트 동작과 관련된 이벤트는 포함되지 않습니다.