InfoGrab Docs

데스크톱 접근 감사 이벤트 참조

요약

이 가이드는 Teleport로 원격 데스크톱에 연결하는 것과 관련된 감사 이벤트의 구조와 필드 이름을 나열합니다. 클라이언트가 데스크톱에 성공적으로 연결되거나 접근이 거부되어 연결 시도가 실패할 때 발생합니다. 클라이언트가 데스크톱에서 연결을 끊을 때 발생합니다.

이 가이드는 Teleport로 원격 데스크톱에 연결하는 것과 관련된 감사 이벤트의 구조와 필드 이름을 나열합니다. 이 가이드를 사용하여 데스크톱 관련 감사 이벤트를 이해하고 감사 이벤트를 내보내는 경우 로그 관리 솔루션을 구성하세요.

windows.desktop.session.start (TDP00I/W)#

클라이언트가 데스크톱에 성공적으로 연결되거나 접근이 거부되어 연결 시도가 실패할 때 발생합니다.

성공적인 연결 이벤트:

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP00I",
  "desktop_addr": "192.168.1.206:3389",
  "desktop_labels": {
    "teleport.dev/computer_name": "WIN-I44F9TN11M3",
    "teleport.dev/dns_host_name": "WIN-I44F9TN11M3.teleport.example.com",
    "teleport.dev/is_domain_controller": "true",
    "teleport.dev/origin": "dynamic",
    "teleport.dev/os": "Windows Server 2012 R2 Standard Evaluation",
    "teleport.dev/os_version": "6.3 (9600)",
    "teleport.dev/windows_domain": "teleport.example.com"
  },
  "ei": 0,
  "event": "windows.desktop.session.start",
  "login": "administrator",
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true,
  "time": "2022-02-16T16:43:30.459Z",
  "uid": "1605346b-d90b-4df7-8148-67a3e2d85673",
  "user": "alice",
  "windows_desktop_service": "316a3ffa-23e6-4d85-92a1-5e44754f8189",
  "windows_domain": "teleport.example.com",
  "windows_user": "administrator"
}

접근 거부 이벤트:

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP00W",
  "desktop_addr": "192.168.1.206:3389",
  "desktop_labels": {
    "teleport.dev/computer_name": "WIN-I44F9TN11M3",
    "teleport.dev/dns_host_name": "WIN-I44F9TN11M3.teleport.example.com",
    "teleport.dev/is_domain_controller": "true",
    "teleport.dev/origin": "dynamic",
    "teleport.dev/os": "Windows Server 2012 R2 Standard Evaluation",
    "teleport.dev/os_version": "6.3 (9600)",
    "teleport.dev/windows_domain": "teleport.example.com"
  },
  "ei": 0,
  "error": "access to desktop denied", // 연결 오류
  "event": "windows.desktop.session.start",
  "message": "access to desktop denied", // 상세 오류 메시지.
  "login": "administrator",
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": false, // 연결 실패를 나타냄
  "time": "2022-02-16T16:43:30.459Z",
  "uid": "1605346b-d90b-4df7-8148-67a3e2d85673",
  "user": "alice",
  "windows_desktop_service": "316a3ffa-23e6-4d85-92a1-5e44754f8189",
  "windows_domain": "teleport.example.com",
  "windows_user": "administrator"
}

windows.desktop.session.end (TDP01I)#

클라이언트가 데스크톱에서 연결을 끊을 때 발생합니다.

{
  "cluster_name": "root",
  "code": "TDP01I",
  "desktop_addr": "192.168.1.206:3389",
  "desktop_labels": {
    "teleport.dev/computer_name": "WIN-I44F9TN11M3",
    "teleport.dev/dns_host_name": "WIN-I44F9TN11M3.teleport.example.com",
    "teleport.dev/is_domain_controller": "true",
    "teleport.dev/origin": "dynamic",
    "teleport.dev/os": "Windows Server 2012 R2 Standard Evaluation",
    "teleport.dev/os_version": "6.3 (9600)",
    "teleport.dev/windows_domain": "teleport.example.com"
  },
  "desktop_name": "WIN-I44F9TN11M3-teleport-example-com",
  "ei": 0,
  "event": "windows.desktop.session.end",
  "login": "administrator",
  "participants": ["alice"],
  "recorded": true,
  "session_start": "2022-02-16T16:43:30.459Z",
  "session_stop": "2022-02-16T16:46:50.894Z",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "time": "2022-02-16T16:46:50.895Z",
  "uid": "c7956a81-597f-4452-90d7-800506f7a05b",
  "user": "alice",
  "windows_desktop_service": "316a3ffa-23e6-4d85-92a1-5e44754f8189",
  "windows_domain": "teleport.example.com",
  "windows_user": "administrator"
}

desktop.clipboard.send (TDP02I)#

클립보드 데이터가 사용자의 워크스테이션에서 Teleport로 전송될 때 발생합니다. 민감한 데이터 캡처를 방지하기 위해 이벤트는 전송된 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP02I",
  "desktop_addr": "192.168.1.206:3389",
  "ei": 0,
  "event": "desktop.clipboard.send",
  "length": 4, // 전송된 바이트 수
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "time": "2022-02-16T16:43:40.010217Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.clipboard.receive (TDP03I)#

Teleport가 원격 데스크톱에서 클립보드 데이터를 수신할 때 발생합니다. 민감한 데이터 캡처를 방지하기 위해 이벤트는 수신된 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP03I",
  "desktop_addr": "192.168.1.206:3389",
  "ei": 0,
  "event": "desktop.clipboard.receive",
  "length": 4, // 수신된 바이트 수
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "time": "2022-02-16T16:43:40.010217Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.directory.share (TDP04I/W)#

Teleport가 로컬 머신의 디렉터리를 원격 데스크톱과 공유하기 시작할 때 발생합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP04I", // 작업이 실패한 경우 TDP04W
  "desktop_addr": "192.168.1.206:3389",
  "directory_id": 2,
  "directory_name": "local-files",
  "ei": 0,
  "event": "desktop.directory.share",
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true, // 작업이 실패한 경우 false
  "time": "2022-10-21T22:36:27.314409Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.directory.read (TDP05I/W)#

이 이벤트는 디렉터리 공유 기능의 일부로, Teleport가 사용자의 로컬 머신에 있는 파일에서 데이터를 읽어 원격 Windows 데스크톱으로 전송할 때 발생합니다.

민감한 데이터 캡처를 방지하기 위해 이벤트는 읽기가 시작된 파일 시작부터의 오프셋과 전송된 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP05I", // 작업이 실패한 경우 TDP05W
  "desktop_addr": "192.168.1.206:3389",
  "directory_id": 2,
  "directory_name": "local-files",
  "ei": 0,
  "event": "desktop.directory.read",
  "file_path": "powershell-scripts/a-script.ps1", // 공유 디렉터리(이 경우 local-files) 루트에서 상대 경로
  "length": 734, // 읽은 바이트 수
  "offset": 0, // 읽기가 시작된 파일 시작부터의 오프셋
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true, // 작업이 실패한 경우 false
  "time": "2022-10-21T22:36:27.314409Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.directory.write (TDP06I/W)#

이 이벤트는 디렉터리 공유 기능의 일부로, Teleport가 원격 데스크톱에서 읽어 사용자의 로컬 머신의 파일에 쓸 때 발생합니다.

민감한 데이터 캡처를 방지하기 위해 이벤트는 쓰기가 시작된 파일 시작부터의 오프셋과 쓰여진 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP06I", // 작업이 실패한 경우 TDP06W
  "desktop_addr": "192.168.1.206:3389",
  "directory_id": 2,
  "directory_name": "local-files",
  "ei": 0,
  "event": "desktop.directory.read",
  "file_path": "powershell-scripts/a-script.ps1", // 공유 디렉터리(이 경우 local-files) 루트에서 상대 경로
  "length": 734, // 쓰여진 바이트 수
  "offset": 0, // 쓰기가 시작된 파일 시작부터의 오프셋
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true, // 작업이 실패한 경우 false
  "time": "2022-10-21T22:36:27.314409Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

데스크톱 접근 감사 이벤트 참조

원문 보기
요약

이 가이드는 Teleport로 원격 데스크톱에 연결하는 것과 관련된 감사 이벤트의 구조와 필드 이름을 나열합니다. 클라이언트가 데스크톱에 성공적으로 연결되거나 접근이 거부되어 연결 시도가 실패할 때 발생합니다. 클라이언트가 데스크톱에서 연결을 끊을 때 발생합니다.

이 가이드는 Teleport로 원격 데스크톱에 연결하는 것과 관련된 감사 이벤트의 구조와 필드 이름을 나열합니다. 이 가이드를 사용하여 데스크톱 관련 감사 이벤트를 이해하고 감사 이벤트를 내보내는 경우 로그 관리 솔루션을 구성하세요.

windows.desktop.session.start (TDP00I/W)#

클라이언트가 데스크톱에 성공적으로 연결되거나 접근이 거부되어 연결 시도가 실패할 때 발생합니다.

성공적인 연결 이벤트:

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP00I",
  "desktop_addr": "192.168.1.206:3389",
  "desktop_labels": {
    "teleport.dev/computer_name": "WIN-I44F9TN11M3",
    "teleport.dev/dns_host_name": "WIN-I44F9TN11M3.teleport.example.com",
    "teleport.dev/is_domain_controller": "true",
    "teleport.dev/origin": "dynamic",
    "teleport.dev/os": "Windows Server 2012 R2 Standard Evaluation",
    "teleport.dev/os_version": "6.3 (9600)",
    "teleport.dev/windows_domain": "teleport.example.com"
  },
  "ei": 0,
  "event": "windows.desktop.session.start",
  "login": "administrator",
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true,
  "time": "2022-02-16T16:43:30.459Z",
  "uid": "1605346b-d90b-4df7-8148-67a3e2d85673",
  "user": "alice",
  "windows_desktop_service": "316a3ffa-23e6-4d85-92a1-5e44754f8189",
  "windows_domain": "teleport.example.com",
  "windows_user": "administrator"
}

접근 거부 이벤트:

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP00W",
  "desktop_addr": "192.168.1.206:3389",
  "desktop_labels": {
    "teleport.dev/computer_name": "WIN-I44F9TN11M3",
    "teleport.dev/dns_host_name": "WIN-I44F9TN11M3.teleport.example.com",
    "teleport.dev/is_domain_controller": "true",
    "teleport.dev/origin": "dynamic",
    "teleport.dev/os": "Windows Server 2012 R2 Standard Evaluation",
    "teleport.dev/os_version": "6.3 (9600)",
    "teleport.dev/windows_domain": "teleport.example.com"
  },
  "ei": 0,
  "error": "access to desktop denied", // 연결 오류
  "event": "windows.desktop.session.start",
  "message": "access to desktop denied", // 상세 오류 메시지.
  "login": "administrator",
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": false, // 연결 실패를 나타냄
  "time": "2022-02-16T16:43:30.459Z",
  "uid": "1605346b-d90b-4df7-8148-67a3e2d85673",
  "user": "alice",
  "windows_desktop_service": "316a3ffa-23e6-4d85-92a1-5e44754f8189",
  "windows_domain": "teleport.example.com",
  "windows_user": "administrator"
}

windows.desktop.session.end (TDP01I)#

클라이언트가 데스크톱에서 연결을 끊을 때 발생합니다.

{
  "cluster_name": "root",
  "code": "TDP01I",
  "desktop_addr": "192.168.1.206:3389",
  "desktop_labels": {
    "teleport.dev/computer_name": "WIN-I44F9TN11M3",
    "teleport.dev/dns_host_name": "WIN-I44F9TN11M3.teleport.example.com",
    "teleport.dev/is_domain_controller": "true",
    "teleport.dev/origin": "dynamic",
    "teleport.dev/os": "Windows Server 2012 R2 Standard Evaluation",
    "teleport.dev/os_version": "6.3 (9600)",
    "teleport.dev/windows_domain": "teleport.example.com"
  },
  "desktop_name": "WIN-I44F9TN11M3-teleport-example-com",
  "ei": 0,
  "event": "windows.desktop.session.end",
  "login": "administrator",
  "participants": ["alice"],
  "recorded": true,
  "session_start": "2022-02-16T16:43:30.459Z",
  "session_stop": "2022-02-16T16:46:50.894Z",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "time": "2022-02-16T16:46:50.895Z",
  "uid": "c7956a81-597f-4452-90d7-800506f7a05b",
  "user": "alice",
  "windows_desktop_service": "316a3ffa-23e6-4d85-92a1-5e44754f8189",
  "windows_domain": "teleport.example.com",
  "windows_user": "administrator"
}

desktop.clipboard.send (TDP02I)#

클립보드 데이터가 사용자의 워크스테이션에서 Teleport로 전송될 때 발생합니다. 민감한 데이터 캡처를 방지하기 위해 이벤트는 전송된 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP02I",
  "desktop_addr": "192.168.1.206:3389",
  "ei": 0,
  "event": "desktop.clipboard.send",
  "length": 4, // 전송된 바이트 수
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "time": "2022-02-16T16:43:40.010217Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.clipboard.receive (TDP03I)#

Teleport가 원격 데스크톱에서 클립보드 데이터를 수신할 때 발생합니다. 민감한 데이터 캡처를 방지하기 위해 이벤트는 수신된 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP03I",
  "desktop_addr": "192.168.1.206:3389",
  "ei": 0,
  "event": "desktop.clipboard.receive",
  "length": 4, // 수신된 바이트 수
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "time": "2022-02-16T16:43:40.010217Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.directory.share (TDP04I/W)#

Teleport가 로컬 머신의 디렉터리를 원격 데스크톱과 공유하기 시작할 때 발생합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP04I", // 작업이 실패한 경우 TDP04W
  "desktop_addr": "192.168.1.206:3389",
  "directory_id": 2,
  "directory_name": "local-files",
  "ei": 0,
  "event": "desktop.directory.share",
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true, // 작업이 실패한 경우 false
  "time": "2022-10-21T22:36:27.314409Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.directory.read (TDP05I/W)#

이 이벤트는 디렉터리 공유 기능의 일부로, Teleport가 사용자의 로컬 머신에 있는 파일에서 데이터를 읽어 원격 Windows 데스크톱으로 전송할 때 발생합니다.

민감한 데이터 캡처를 방지하기 위해 이벤트는 읽기가 시작된 파일 시작부터의 오프셋과 전송된 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP05I", // 작업이 실패한 경우 TDP05W
  "desktop_addr": "192.168.1.206:3389",
  "directory_id": 2,
  "directory_name": "local-files",
  "ei": 0,
  "event": "desktop.directory.read",
  "file_path": "powershell-scripts/a-script.ps1", // 공유 디렉터리(이 경우 local-files) 루트에서 상대 경로
  "length": 734, // 읽은 바이트 수
  "offset": 0, // 읽기가 시작된 파일 시작부터의 오프셋
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true, // 작업이 실패한 경우 false
  "time": "2022-10-21T22:36:27.314409Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}

desktop.directory.write (TDP06I/W)#

이 이벤트는 디렉터리 공유 기능의 일부로, Teleport가 원격 데스크톱에서 읽어 사용자의 로컬 머신의 파일에 쓸 때 발생합니다.

민감한 데이터 캡처를 방지하기 위해 이벤트는 쓰기가 시작된 파일 시작부터의 오프셋과 쓰여진 바이트 수만 기록합니다.

{
  "addr.remote": "192.168.1.206:3389",
  "cluster_name": "root",
  "code": "TDP06I", // 작업이 실패한 경우 TDP06W
  "desktop_addr": "192.168.1.206:3389",
  "directory_id": 2,
  "directory_name": "local-files",
  "ei": 0,
  "event": "desktop.directory.read",
  "file_path": "powershell-scripts/a-script.ps1", // 공유 디렉터리(이 경우 local-files) 루트에서 상대 경로
  "length": 734, // 쓰여진 바이트 수
  "offset": 0, // 쓰기가 시작된 파일 시작부터의 오프셋
  "proto": "tdp",
  "sid": "4a0ed655-1e0b-412b-b14a-348e840e7fa2",
  "success": true, // 작업이 실패한 경우 false
  "time": "2022-10-21T22:36:27.314409Z",
  "uid": "e45d9890-38a9-4580-8572-35fa0192b123",
  "user": "alice"
}