이벤트 컬렉션 보안

  • 아티클

이벤트 컬렉션 서비스에 대해 다음과 같은 보안 고려 사항을 적용해야 합니다.

이벤트 컬렉션 서비스 권한 요약

새 이벤트 컬렉션 서비스 인스턴스의 ID에 다음과 같은 권한이 있는지 확인합니다.

  • ETW 세션을 만들고, 공급자를 등록하고, ETW 세션에서 이벤트를 읽을 수 있는 권한

  • 루트 Web.config 파일에 저장된 이벤트 컬렉션 서비스 구성에 대한 읽기 권한

  • <드라이브>\Windows\System32\inetserv\config에 있는 IIS 구성 파일에 대한 읽기 권한

  • 모니터링 중인 응용 프로그램의 적용 가능한 응용 프로그램 구성 파일(Web.config)에 대한 읽기 권한

  • 모니터링 데이터베이스에 대한 읽기 및 쓰기 권한

  • "서비스로 로그온" 정책

특정 사용자로 실행

Windows Server AppFabric에서 모니터링하는 특정 응용 프로그램의 이벤트를 격리하려면 WCF(Windows Communication Foundation) 및/또는 Windows WF(Workflow Foundation) 서비스가 포함된 응용 프로그램을 특정 사용자로 실행합니다. 사용자에게 이벤트 컬렉션 서비스가 수신 대기 중인 ETW(Windows용 이벤트 추적) 세션에 대한 쓰기 권한이 있는지 확인합니다. 또한 실제 이벤트 컬렉션 서비스를 특정 사용자로 실행합니다. 이 사용자는 응용 프로그램과 동일한 사용자이거나 다른 사용자일 수 있습니다. 다음 단계를 통해 이벤트 컬렉션 서비스를 특정 사용자로 실행할 수 있습니다.

  1. 이벤트 컬렉션 서비스 인스턴스의 ID를 Performance Log Users Windows 그룹에 추가합니다. 그러면 이벤트 컬렉션 서비스가 ETW 세션을 만들고, 공급자를 등록하고, ETW 세션에서 이벤트를 읽을 수 있는 적절한 ACL이 제공됩니다.

  2. 이벤트 컬렉션 서비스 ID에는 모니터링 데이터 저장소에 대한 쓰기 및 읽기 권한이 필요합니다. 이를 위해서는 이벤트 컬렉션 서비스 ID를 ASMonitoringDbReaderASMonitoringDbWriter 데이터베이스 역할에 추가해야 합니다. 이러한 데이터베이스 역할에 ID를 명시적으로 추가할 수 있습니다. 또는 이벤트 컬렉션 서비스 ID를 AppFabric에서 만든 AS_Administrators Windows 그룹에 추가할 수 있습니다.

  3. 모니터링 중인 응용 프로그램의 Web.config 파일에 대한 읽기 권한을 이벤트 컬렉션 서비스 ID에 부여합니다. 이벤트 컬렉션 서비스 인스턴스의 ID를 AS_Administrators Windows 그룹에 추가하면 <드라이브>\Windows\system32\inetserv\config 디렉터리에 있는 IIS 응용 프로그램의 구성 파일에 대한 읽기 권한이 이벤트 컬렉션 서비스에 제공됩니다.

WCF(Windows Communication Foundation) 및/또는 Windows WF(Workflow Foundation) 서비스가 포함된 응용 프로그램에서 Windows Server AppFabric 모니터링을 사용하려면 이벤트 컬렉션 서비스가 이벤트를 수집하는 ETW 세션으로 이벤트를 내보내야 합니다. 응용 프로그램이 ETW 세션에 대한 쓰기 권한을 가지려면 응용 프로그램이 실행되고 있는 응용 프로그램 풀의 ID에 ETW 세션에 대한 쓰기 권한이 있어야 합니다. 이렇게 하려면 Windows 안정성 및 성능 모니터 도구를 통해 ETW 세션에 액세스할 수 있는 사용자 목록에 ID를 추가합니다. 또는 EventAccessControl Win32 API(https://go.microsoft.com/fwlink/?LinkId=179742)(영문)를 사용하여 사용자가 ETW 세션에 쓸 수 있도록 권한을 변경할 수 있습니다.

이벤트 컬렉션 서비스 ID에 모니터링 중인 응용 프로그램의 Web.config 파일에 대한 읽기 권한이 없는 경우 이벤트 ID 130을 생성합니다. 이 이벤트는 Microsoft-Windows-Application Server-System Services/Admin 노드 아래의 이벤트 로그에 기록됩니다.

다음 중 한 가지 방법을 사용하여 응용 프로그램의 Web.config 파일에 대한 읽기 권한을 이벤트 컬렉션 서비스 ID에 할당할 수 있습니다.

  • Windows 탐색기에서 응용 프로그램의 Web.config 파일을 마우스 오른쪽 단추로 클릭하고 속성을 선택한 다음 보안 탭을 클릭합니다. 이벤트 컬렉션 서비스에 사용된 ID에 읽기 권한을 할당합니다.

    참고

    보안 설정이 캐싱되는 경우가 있으므로 읽기 권한을 부여한 후 권한이 적용되는 데 약간의 시간이 소요될 수 있습니다. 또는 업데이트된 권한으로 응용 프로그램의 Web.config 파일을 읽을 수 있도록 이벤트 컬렉션 서비스를 다시 시작해야 할 수 있습니다.

  • Web.config 파일에 대한 읽기 권한을 명시적으로 설정하는 다른 방법으로 응용 프로그램을 루트 웹 폴더로 이동할 수 있습니다. 예를 들어, 기본 웹 사이트의 경우 이 위치는 <시스템 드라이브>\inetpub\wwwroot입니다. 개발할 때 Visual Studio에서 이 작업을 수행할 수도 있습니다. 프로젝트를 마우스 오른쪽 단추로 클릭하고 게시를 선택한 후 MSDeploy를 사용하여 웹 서비스를 로컬 IIS 서버(Localhost 사용)에 게시합니다.

"서비스로 로그온" 정책

도메인 환경에서는 웹 팜의 다양한 서버에서 실행할 이벤트 컬렉션 서비스 및 워크플로 관리 서비스의 서비스 ID가 AppFabric 도메인 관리자 그룹에 있어야 합니다. 이 그룹은 도메인 관리자가 수동으로 만들기 때문에 이 그룹의 이름을 임의로 선택할 수 있습니다. 일반적으로 이 그룹에는 AppFabric 도메인 관리자 계정이 포함됩니다. 따라서 "서비스로 로그온" 권한을 이 그룹의 사용자에게 부여하고 도메인에 적용해야 합니다. 이 권한은 보안 주체가 서비스로 로그온할 수 있게 하므로 별도의 사용자 계정을 사용하여 실행되는 모든 서비스에 이 권한을 할당해야 합니다. 계정에 "서비스로 로그온" 권한을 추가하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=192517을 참조하십시오.

  2011-12-05