DHCP서버 로그 파일 분석
Windows Server 2003 제품군에서 DHCP 서버 로그 파일은 로그 파일의 증가를 관리하거나 디스크 리소스를 절약하기 위해 추가로 모니터링하거나 관리하지 않아도 감사 로깅을 사용하여 로그 파일이 사용 가능한 상태로 유지되도록 설계되었습니다. DHCP 감사 로그는 기본적으로 %windir%\System32\Dhcp에 있습니다.
다음 섹션에서는 네트워크에서 DHCP 서버 서비스 작업에 대해 자세한 정보를 모을 수 있도록 로그 파일을 사용하는 방법과 로그 파일의 형식에 대해 설명합니다.
DHCP 서버 로그 파일 형식
DHCP 서버 로그는 쉼표로 구분된 텍스트 파일로서 각 로그 항목은 단일 텍스트 줄을 나타냅니다. 다음은 로그 파일 항목에 있는 필드를 순서대로 표시한 것입니다.
ID, 날짜, 시간, 설명, IP 주소, 호스트 이름, MAC 주소
다음 표에는 각 필드에 대한 자세한 설명이 나옵니다.
|
| |
|
필드 |
설명 |
|
ID |
DHCP 서버 이벤트 ID 코드입니다. |
|
날짜 |
이 항목이 DHCP 서버에 기록된 날짜입니다. |
|
시간 |
이 항목이 DHCP 서버에 기록된 시간입니다. |
|
설명 |
이 DHCP 서버 이벤트의 설명입니다. |
|
IP 주소 |
DHCP 클라이언트의 IP 주소입니다. |
|
호스트 이름 |
DHCP 클라이언트의 호스트 이름입니다. |
|
MAC 주소 |
클라이언트의 네트워크 어댑터 하드웨어에서 사용하는 미디어 액세스 제어 주소입니다. |
DHCP 서버 역할: 일반적인 이벤트 코드
DHCP 서버 감사 로그 파일은 예약된 이벤트 ID 코드를 사용하여 서버 이벤트나 기록된 동작 유형에 대한 정보를 제공합니다. 다음 표에는 이러한 이벤트 ID 코드에 대한 자세한 설명이 나옵니다.
|
| |
|
이벤트 ID |
설명 |
|
00 |
로그가 시작되었습니다. |
|
01 |
로그가 중지되었습니다. |
|
02 |
디스크 공간 부족으로 로그가 일시 중지되었습니다. |
|
10 |
새 IP 주소가 클라이언트에게 임대되었습니다. |
|
11 |
클라이언트에서 임대를 갱신했습니다. |
|
12 |
클라이언트에서 임대를 해제했습니다. |
|
13 |
IP 주소가 네트워크에서 사용 중입니다. |
|
14 |
범위의 주소 풀이 모두 사용 중이므로 임대 요청을 처리할 수 없습니다. |
|
15 |
임대가 거부되었습니다. |
|
20 |
BOOTP 주소가 클라이언트에게 임대되었습니다. |
DNS 동적 업데이트 이벤트
DHCP 서버가 DHCP 클라이언트 대신 DNS 동적 업데이트를 수행하도록 구성된 경우 DHCP 감사 로그를 사용하여 DHCP 서버의 DNS 서버 업데이트 요청, DNS 레코드 업데이트 성공 및 DNS 레코드 업데이트 실패를 모니터링할 수 있습니다. 다음은 DNS 동적 업데이트 이벤트에 사용되는 이벤트 ID입니다.
|
| |
|
ID 번호 |
DHCP 이벤트 |
|
30 |
DNS 동적 업데이트 요청 |
|
31 |
DNS 동적 업데이트 실패 |
|
32 |
DNS 동적 업데이트 성공 |
DHCP 감사 로그에 포함된 DHCP 클라이언트 컴퓨터의 IP 주소를 사용하면 서비스 거부 공격의 근원을 추적할 수 있습니다.
DHCP 서버 역할: 서버 권한 부여 이벤트
다음은 추가 서버 로그 이벤트 ID 코드와 설명입니다. 이러한 이벤트는 Windows Server 2003을 실행하는 DHCP 서버에서 만든 로그에 나타날 수 있습니다. 이것은 DHCP 서버 및 해당 서버가 Active Directory 환경에 배포될 때 권한 부여 상태에 관련된 이벤트입니다.
|
| |||||||
|
이벤트 ID |
설명 | ||||||
|
50 |
연결할 수 없는 도메인 DHCP 서버가 구성된 Active Directory 설치에 해당하는 도메인을 찾을 수 없습니다. | ||||||
|
51 |
권한 부여 성공 DHCP 서버가 네트워크에서 시작할 수 있도록 권한이 부여되었습니다. | ||||||
|
52 |
Windows Server 2003 운영 체제로 업그레이드됨 DHCP 서버가 최근 Windows Server 2003 운영 체제로 업그레이드되었기 때문에 Active Directory에서 DHCP 서버에 권한을 부여했는지를 확인하는 데 사용되는 권한 없는 DHCP 서버 검색 기능을 사용할 수 없게 설정되어 있습니다. | ||||||
|
53 |
캐시된 권한 부여 DHCP 서버가 이전에 캐시된 정보를 사용하여 시작할 수 있는 권한이 부여되었습니다. Active Directory는 서버가 네트워크에서 시작될 때 보이지 않습니다. | ||||||
|
54 |
권한 부여 실패 DHCP 서버가 네트워크에서 시작할 수 있는 권한이 부여되지 않았습니다. 이 이벤트가 발생하면 서버가 중지될 가능성이 많습니다. | ||||||
|
55 |
권한 부여됨(서비스 중) DHCP 서버를 네트워크에서 시작할 수 있도록 권한 부여가 성공적으로 이루어졌습니다. | ||||||
|
56 |
권한 부여 실패, 서비스 중지 DHCP 서버를 네트워크에서 시작할 수 있도록 권한이 부여되지 않아 운영 체제에서 서버를 종료합니다. 서버를 다시 시작하기 전에 디렉터리에서 먼저 권한을 부여해야 합니다. 자세한 내용은 Active Directory에서 DHCP 서버에 권한 부여를 참조하십시오. | ||||||
|
57 |
도메인에서 발견된 서버 같은 도메인에 서비스 권한이 부여된 다른 DHCP 서버가 있습니다. | ||||||
|
58 |
도메인을 찾을 수 없음 DHCP 서버에서 지정된 도메인을 찾을 수 없습니다. | ||||||
|
59 |
네트워크 오류 네트워크 관련 오류로 인해 서버에서 권한 부여 여부를 확인할 수 없습니다. | ||||||
|
60 |
DS 사용 가능한 DC 없음 Windows Server 2003 도메인 컨트롤러(DC)가 없습니다. 서버의 권한 부여 여부를 감지하려면 Active Directory에서 사용하는 DC가 필요합니다. | ||||||
|
61 |
DS 도메인에 속한 서버를 찾음 Active Directory 도메인에 속하는 또 다른 DHCP 서버를 네트워크에서 찾았습니다. | ||||||
|
62 |
다른 서버가 검색됨 또 다른 DHCP 서버를 네트워크에서 찾았습니다. | ||||||
|
63 |
Rogue 검색 다시 시작 DHCP 서버를 네트워크에서 시작하고 서비스를 제공할 수 있는 권한이 부여되었는지를 다시 확인하려고 합니다. | ||||||
|
64 |
DHCP 사용 가능 인터페이스 없음 DHCP 서버는 서비스를 제공할 수 없도록 서비스 바인딩이나 네트워크 연결이 구성되어 있습니다. 이는 대개 다음 중 하나를 의미합니다.
| ||||||
예는 다음과 같습니다. 예제 DHCP 서버 감사 로그에서 발췌
다음은 DHCP 서버 서비스에서 생성된 감사 로그에서 발췌한 예제 로그 동작입니다.
ID Date,Time,Description,IP Address,Host Name,MAC Address 00,04/19/99,
이 예제에서 DHCP 서버는 처음으로 시작된 후 중지될 때 권한을 부여 받지 못합니다. 권한이 부여된 서버는 클라이언트를 시작하고 서비스를 제공할 수 있습니다.
참고
|
• |
자세한 내용은 감사 로깅을 참조하십시오. |