журналы безопасности двух контроллеров домена в моей сети переполнены событиями безопасности с идентификаторами 4624 и 4634 и в меньшей степени Степень, 4672. Чтение из Интернета такое поведение довольно распространено и не обязательно означает основную проблему / проблему.
Однако такое наводнение подрывает полезность журнала: слишком много информации, никакой информации.
Я ' Я хочу сказать серверу Windows: не записывайте идентификаторы событий 4624 и 4634 в журнал безопасности, а вместо этого записывайте его в новый файл журнала, используемый только для этих событий. Таким образом, я не снизил бы безопасность (возможности аудита) системы, но улучшил бы информацию, содержащуюся в измененном журнале безопасности.
Возможно ли это? Можно ли это посоветовать?
Спасибо,
Диего
Хотя Windows позволяет фильтровать, вы не можете перенаправить определенные события на основе идентификатора на другой журнал. В некоторой степени возможно перенаправить определенные источники событий в их собственный журнал событий (например, вы можете создать специальный журнал для программного продукта и перенаправить его события в этот журнал), но журнал безопасности практически неизменен.
Если это действительно утомляет вас, тогда вам, вероятно, придется инвестировать в какое-то решение для мониторинга журналов, которое позволит вам сохранять события в базе данных, на удаленном сервере системного журнала или даже в текстовом файле. Конечно, эти продукты часто предлагают дополнительные возможности, такие как оповещение, нормализация, корреляция, архивирование и многое другое.
Одним из таких продуктов, ориентированных на Windows, является EventSentry , но есть и многие другие, включая бесплатные и с открытым исходным кодом. ед. Например, с помощью EventSentry вы можете просматривать события, легко / автоматически отфильтровывая шум от этих событий, или даже хранить 4624 в отдельной базе данных в целом.