Como suprimir as entradas do log de eventos para a auditoria de segurança / acesso a arquivos

Question

Como suprimir as entradas do log de eventos para a auditoria de segurança / acesso a arquivos

#1 resposta do (0 votos)

0

Eu configurei "Acesso a objeto de auditoria" em um Windows Server 2008 R2. Em seguida, fui para uma pasta específica de propriedades / segurança / avançado / auditoria e adicionei uma entrada para Todos e verifiquei com êxito e falha o item "Criar arquivos / gravar dados".

Isso tudo funciona bem e no Event-Viewer / Windows Logs / Security eu vou ver a identificação do evento 4656 com Categoria de Tarefas "File System" e eu vou ver o meu userid e "Notepad.exe" quando eu editar um arquivo nessa pasta, como um teste. No entanto, também vejo milhares (literalmente vários milhares - até 50 por segundo) de outros eventos do mesmo ID de Evento, mas com Categoria de Tarefa de "Outro Acesso ao Objeto", com detalhes como "Um identificador para um objeto foi solicitado". Object Server="PlugPlayManager", Process = Svchost.exe. Estes não existiam antes de configurar esta auditoria.

Então, eu sei que posso filtrar o log de eventos por certas coisas, mas não pela Categoria de Tarefa, e a questão principal é que eu simplesmente não me importo com esses outros eventos - só quero rastrear quem editou um arquivo, período. Eu não me importo com os milhares (e enquanto eu escrevo isto está agora nas dezenas de milhares) desses outros eventos. Como posso parar os "Outros Eventos de Acesso a Objetos" e somente auditar edições de arquivos? Obrigado

windows security windows-server-2008 windows-server-2008-r2 windows-explorer

por jimo3 20.09.2017 / 22:34

1 resposta

Tags windows security windows-server-2008 windows-server-2008-r2 windows-explorer

Meu computador / perfil de usuário precisa desse muitos arquivos NTUSER.DAT? Glusterfs adiciona um novo servidor para configuração replicada

score 0 · Answer 1

Ok, eu ia apagar a pergunta, mas acho que os outros podem ter a mesma pergunta. O que eu tive que fazer foi descer abaixo no nó "Advanced Audit Policy Configuration" da Política de Segurança Local e fazer duas coisas:

Vá para "Acesso do objeto" e escolha Sistema de arquivos de auditoria - > Propriedades - > Configure os seguintes eventos - > (Verifique o sucesso e a falha).
No Acesso a Objetos, vá para Manipulação do Controle de Auditoria - > Propriedades. Aqui eu faço um pouco diferente - escolhi "Configure os seguintes eventos" e eu também não marquei, apenas fecho a caixa. Em seguida, ele altera o status de "Não configurado" (que aparentemente significa "auditar mesmo assim") para "Sem auditoria".

Espero que isso ajude alguém. Agora vejo apenas meus eventos de edição de arquivos. (Observe que isso é um acréscimo à ação original de configurar o Acesso a Objetos de Auditoria e, é claro, ir para a própria pasta, em Propriedades, Avançado, etc e mexer nas configurações da guia Auditoria)