# Microsoft Windows 이벤트 로그를 위한 소스 구성
<a name="windows-events-source-setup"></a>

## Windows 이벤트와 통합
<a name="windows-events-integration"></a>

Microsoft Windows 이벤트 로그는 Windows 운영 체제에서 시스템, 보안, 애플리케이션 이벤트를 기록하는 포괄적인 로깅 시스템을 제공합니다. CloudWatch Pipeline은 Log Analytics API를 사용하여 Windows 서버 및 워크스테이션에서 시스템 작업, 보안 이벤트, 사용자 활동, 애플리케이션 동작에 대한 정보를 검색합니다. Log Analytics API를 사용하면 KQL(Kusto Query Language) 쿼리를 통해 이벤트 데이터에 액세스할 수 있으므로, Log Analytics 워크스페이스에서 Windows 이벤트 로그를 검색할 수 있습니다.

## Windows 이벤트로 인증
<a name="windows-events-authentication"></a>

Windows 이벤트 감사 로그를 읽으려면 파이프라인이 사용자의 계정으로 인증해야 합니다. 플러그인은 OAuth2 인증을 지원합니다. 다음 지침에 따라 Microsoft Windows Event: Log Analytics API를 시작합니다.
+ 지원되는 계정 유형, 이 조직 디렉터리의 계정(단일 테넌트)으로만 Azure에 애플리케이션을 등록합니다. 등록이 완료되면 애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID를 메모합니다.
+ 애플리케이션에 대한 새 클라이언트 보안 암호를 생성합니다. 클라이언트 보안 암호는 액세스 토큰에 대한 인증 코드를 교체할 때 사용됩니다. 보안 암호 값은 다시 표시되지 않으므로 즉시 복사합니다.
+ AWS Secrets Manager에서 보안 암호를 생성한 후 `client_id`라는 키로 애플리케이션(클라이언트) ID를 저장하고 `client_secret`이라는 키로 클라이언트 보안 암호를 저장합니다.
+ 애플리케이션이 Log Analytics API에 액세스하는 데 필요한 API 권한을 지정합니다. 필요한 권한은 Data.Read이며, 이 권한은 KQL 쿼리를 실행하고 Log Analytics 워크스페이스에서 로그 데이터(Windows 이벤트 로그 포함)를 읽는 데 필요합니다.
+ Log Analytics 워크스페이스 생성 및 구성: Azure 포털에서 워크스페이스를 생성합니다(Monitor → Log Analytics 워크스페이스). 데이터 수집 규칙(DCR)을 생성하여 수집할 Windows 이벤트 로그(시스템, 애플리케이션, 보안)를 지정합니다. DCR을 통해 Windows 서버/VM을 워크스페이스에 연결합니다. 워크스페이스 개요 페이지에서 워크스페이스 ID를 메모해 둡니다(API 쿼리에 필요).
+ 애플리케이션에 워크스페이스 액세스 권한 부여: Log Analytics 워크스페이스 → Access control(IAM)로 이동합니다. 등록된 애플리케이션에 Log Analytics Reader 역할을 할당합니다. 이 RBAC 역할은 API 권한과 함께 작동하여 보안 액세스를 제공합니다. OAuth는 API 사용 권한을 확인하며, IAM은 워크스페이스 데이터 액세스 권한을 확인합니다.

## CloudWatch 파이프라인 구성
<a name="windows-events-pipeline-config"></a>

로그를 읽도록 파이프라인을 구성할 경우 Microsoft Windows 이벤트를 데이터 소스로 선택합니다. 디렉터리(테넌트) ID 및 워크스페이스 ID(workspace\_id)를 사용하여 테넌트 ID 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

## 지원되는 Open Cybersecurity Schema Framework 이벤트 클래스
<a name="windows-events-ocsf-events"></a>

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 계정 변경(3001), 인증(3002), 엔터티 관리(3004), 이벤트 로그 활동(1008), 파일 시스템 활동(1001), 그룹 관리(3006), 커널 활동(1003)에 매핑되는 감사 이벤트를 지원합니다.

**계정 변경**에는 다음 이벤트가 포함됩니다.
+ 4740

**인증**에는 다음 이벤트가 포함됩니다.
+ 4624
+ 4625
+ 4634
+ 4647
+ 4648
+ 4649
+ 4672

**엔터티 관리**에는 다음 이벤트가 포함됩니다.
+ 4616
+ 4907
+ 4719
+ 4902

**이벤트 로그 활동**에는 다음 이벤트가 포함됩니다.
+ 1100
+ 1102
+ 1104
+ 1105

**파일 시스템 활동**에는 다음 이벤트가 포함됩니다.
+ 4608
+ 4660
+ 4688
+ 4696
+ 4826
+ 5024
+ 5033
+ 5058
+ 5059
+ 5061
+ 5382
+ 5379

**그룹 관리**에는 다음 이벤트가 포함됩니다.
+ 4732
+ 4798
+ 4799
+ 4733
+ 4731
+ 4734
+ 4735

**커널 활동**에는 다음 이벤트가 포함됩니다.
+ 4674