[윈도우] 이벤트뷰어에서 IP 변경 기록 확인 방법

 

안녕하세요 hayee 입니다.

 

여전히 회사에 치이고 있어 오랜만에 글을 올리러 왔습니다.

오늘은 서버를 구축하는 중에 문제가 있었어서 관련 내용을 적어볼려고 합니다.

---

1. 증상: 랜카드의 설정이 변경되었던 것으로 추정되어 관련 이벤트 로그를 찾아보았다.

(ip 나 서브넷 마스크를 변경하였을 때 이벤트 로그가 남는지 찾아보면서 관련 내용을 요약)

---

1.  네트워크 어댑터 설정 변경 관련 로그

• 이벤트 ID: 4200
• 로그 위치: Event Viewer → Windows Logs → System
• 이벤트 소스: Tcpip
• 설명: 네트워크 인터페이스에서 IP 주소가 추가되거나 변경될 때 기록된다.
• 예상 메시지:

The system detected that network adapter <Adapter Name> was connected to the network, and has initiated normal operation over the network adapter.

2.  IP 주소 or 서브넷 마스크 변경 감지 로그

• 이벤트 ID: 4199
• 로그 위치: Event Viewer → Windows Logs → System
• 이벤트 소스: Tcpip
• 설명: 특정 네트워크 인터페이스의 설정(IP, 서브넷 마스크 변경 등)이 바뀔 때 발생한다.

3.  IP 주소 삭제 이벤트

• 이벤트 ID: 4201
• 설명: 기존 IP 주소가 삭제될 때 기록됨
• 예상 메시지:

The system detected that network adapter <Adapter Name> was disconnected from the network.

4.  DHCP 관련 변경 로그

• 이벤트 ID: 3335, 5007
• 로그 위치: Event Viewer → Windows Logs → System
• 이벤트 소스: Microsoft-Windows-DHCP-Client
• 설명: DHCP를 통해 새로운 IP 주소를 할당받거나 변경되었을 때 기록된다.

5.  네트워크 어댑터 상태 변경 로그

• 이벤트 ID: 27
• 로그 위치: Event Viewer → Windows Logs → System
• 이벤트 소스: e1iexpress (네트워크 드라이버에 따라 다름)
• 설명: 네트워크 어댑터가 연결 또는 연결 해제될 때 기록된다.

6. 라우팅 테이블 변경 (게이트웨이 변경 감지)

• 이벤트 ID: 10400
• 로그 위치: Event Viewer → Windows Logs → System
• 이벤트 소스: Microsoft-Windows-NDIS
• 설명: 기본 게이트웨이 변경이 감지될 수 있으며, 네트워크 어댑터가 새로운 경로를 설정할 때 발생할 가능성이 높음.

 

◆ 추가적인 방법

IP 주소 변경과 관련된 더 자세한 기록이 필요한 경우, **Windows 감사 로그(Audit Policy)**를 설정하여 Security 로그에서 네트워크 설정 변경을 모니터링할 수도 있다.

◆ 감사 정책 설정 방법

1. gpedit.msc 실행 (로컬 그룹 정책 편집기)
2. 컴퓨터 구성 → Windows 설정 → 보안 설정 → 로컬 정책 → 감사 정책
3. "감사 정책 변경" 및 "개체 액세스 감사" 활성화
4. 이벤트 로그에서 Security 카테고리를 확인

---

➡️ 요약

• IP 변경: 이벤트 ID 4200, 4201
• 서브넷 마스크 변경: 이벤트 ID 4199
• 기본 게이트웨이 변경: 이벤트 ID 10400
• DHCP 변경 여부 확인: 이벤트 ID 3335, 5007

 

 

 

 

 

# 틀린 부분이 있다면 댓글 부탁드립니다. #  
# 댓글 달아주시면 늦게라도 블로그 방문하도록 할게요! 감사합니다. #