명령 감사 로그 사용

MID 서버 감사 로그는 기본적으로 false로 설정되는 속성mid.log.command_audit.enable으로 MID 서버 활성화됩니다. MID Server 속성 테이블 [ecc_agent_property_list.do]에 속성을 추가합니다. 활성화 MID 서버 되면 다음으로 이동하여 인스턴스에서 명령 감사 로그에 액세스할 수 있습니다. MID Server > 명령 감사 로그 [ecc_agent_command_audit_log_list.do]입니다. 이 테이블을 보거나 변경하려면 사용자에게 agent_security_admin 역할이 있어야 합니다.

명령 감사 로그에 기록된 데이터

MID 서버 명령 감사 로그는 명령의 이름과 명령 해시를 기록합니다. 예를 들어 Discovery 중에 프로브가 명령을 실행하지 않고 대신 스크립트를 실행하면 스크립트 이름이 기록됩니다. 명령 해시는 이름에 관계없이 스크립트의 내용을 기반으로 계산됩니다. 따라서 이름을 변경해도 명령 해시에는 영향을 주지 않습니다.

WMIRunner와 같은 프로브가 여러 WMI 필드가 있는 명령을 실행하면 WMI는 이러한 필드를 쿼리하는 하나의 스크립트를 만듭니다. 스크립트는 임시 폴더의 MID 서버 호스트에서 임시로 생성됩니다. 스크립트가 실행되면 임시 폴더에서 제거됩니다. 스크립트에는 필드와 난수를 기반으로 이름이 지정됩니다. 그러나 해시 키는 동일한 내용으로 인해 항상 동일합니다.

명령 감사 로그는 실행 상태를 성공 또는 실패로 보고합니다. 명령이 실행된 경우 기록 항목은 성공이고, 실행할 수 없는 경우 실패입니다. 명령 감사 로그는 실행 중인 명령의 결과를 고려하지 않습니다. 예를 들어 실행되지만 데이터 수집에 실패한 명령은 여전히 실행 상태에 성공으로 나열됩니다.

Discovery는 WinRM에 대한 JEA 프로필을 지원합니다. MID 서버 명령 감사 로그는 검색 명령의 JEA 프로파일을 기록합니다(사용 가능한 경우). JEA 프로필에 대한 자세한 내용은 Microsoft JEA(Just Enough Administration for Discovery) 를 참조하십시오.

기본적으로 테이블은 7일마다 교체됩니다. 자세한 내용은 테이블 교대를 참조하십시오.