Еще раз предисловие: я администратор Linux.
Есть ли способ уменьшить количество подробностей сообщений журнала безопасности Windows Server? Например, каждое событие входа в систему «4624» содержит этот дополнительный текст, описывающий, что такое событие входа в систему. Да, я знаю, что такое событие входа в систему. На данный момент я даже знаю, что такое идентификатор события 4624. А если я этого не сделаю, я могу просто посмотреть подробности.
Пример:
Computer = "dc1.example.com";
EventCode = 4624;
EventIdentifier = 4624;
Logfile = "Security";
...snip...
...
...useful info...
...THIS:
This event is generated when a logon session is created. It is generated on the computer that was accessed.
The subject fields indicate etc etc etc etc - 1.6k worth!!
Все лишнее многословие разрушает мою службу ведения журнала!
Я нашел в Интернете еще одного человека с этой проблемой , что меня очень удивляет! И у этого человека было решение для Splunk. Я бы предпочел решение для Windows, поскольку я не использую Splunk.
Все события Windows существуют в двух форматах: XML и визуализированный текст. Обычно вам нужны только данные Xml. Если сборщики Sumo настроены на отправку визуализированного текста (похоже на это), 80% данных вашего журнала - бесполезный избыточный мусор.
Параметр «renderMessages» кажется применимым. по умолчанию: True
Флаг, указывающий, собираются ли все сообщения о событиях (истина) или только основные метаданные событий (ложь)
Если вас беспокоит использование диска, вы можете установить для журнала событий значение «архивировать при заполнении» и включить дедупликацию на томе. Вам понадобится что-то для управления журналами, иначе они будут расти вечно.