Existe uma limitação na contagem de caracteres do evento do Windows?

Navegue suas respostas
4

Estou trabalhando na análise de saída da ID de evento do Windows 5136 (" um objeto de serviço de diretório foi modificado ") e, mais especificamente, eventos com " nome de exibição do LDAP = nTSecurityDescriptor "( veja o seguinte evento 5136 captura ).

No campo "valor", tenho uma lista de todas as permissões de segurança alteradas no próprio objeto, o que é ótimo. No entanto, percebo os seguintes problemas ao tentar comparar 2x eventos correlacionados e seus respectivos campos "valores":

  • Número de caracteres é sempre 5120 (4096 + 1024)
  • O texto localizado na última linha é sempre truncado e não termina com o caractere adequado - deve ser um ")" no final ( veja a saída de texto do folllwing ).

Informações sobre os eventos:

  • O host de origem é um DC do Windows Server 2012 R2 (atualizado)
  • Para essa análise de saída específica, os logs foram extraídos diretamente do próprio computador de origem (portanto, não há WEF, Agente NXlog, SYSLOG, ELK, SIEM, ...)
  • Vendo o evento com o PowerShell, o console de eventos (guia geral) ou o console de eventos (detalhes / exibição XML) fornecem a mesma saída

Por isso, procurei algumas limitações de tamanho de valor dentro do Windows Events (não o próprio arquivo de log de eventos), mas apenas encontrei algumas informações nos sites "community embarcadero" e "developpez".

Question: does someone know if there is any limitation for a Windows logs value field to 5120 Bytes and a way to increase it ? I need both to make a diff between and report the changes. Thanks

    
por Michel de Crevoisier 29.08.2017 / 17:45

2 respostas

3

A mensagem no evento é processada pelo Função EvtFormatMessage . Tanto quanto eu me lembro, havia um limite de cerca de 32k caracteres para isso, então isso não deve estar causando o truncamento. Isso funciona por meio de uma cadeia de formatação que é identificada pelo id do evento e por um conjunto de valores que são armazenados com o evento. A parte value: % é tal. A estrutura EVENTDATA_DESCRIPTOR usada para gravar esse valor também pode armazenar dados maiores.

Minha aposta é que o provedor de eventos tem um limite interno (5120) para isso. A razão por trás disso é provavelmente devido à limitação observada na documentação EVENTDATA_DESCRIPTOR : 

Note that the total data size of the event (not just this data item)
is the lesser of
64 KB

Seu evento tem 12 valores e se eles usaram limites iguais para cada um deles, ele se reduz a cerca de 5kb. Talvez você possa enviar um relatório de bug para a Microsoft.

    
por 29.08.2017 / 21:36
0

Issue seems to be fixed thanks to a probable update from Microsoft.

A edição inicial foi detectada em 05/09/17 e hoje em 26/07/18 esse comportamento "truncado" desapareceu no meu ambiente. Os logs não são mais truncados e o SDDL completo é exibido dentro do Visualizador de Eventos do Windows (consulte o campo VALUE abaixo). O DC em questão está sendo executado com atualizações de junho de 2018. 

A directory service object was modified.

Subject:
    Security ID:        DEMO\XXX
    Account Name:       XXX
    Account Domain:     DEMO
    Logon ID:       0x4D4A4CB

Directory Service:
    Name:   demo.lan
    Type:   Active Directory Domain Services

Object:
    DN: OU=Test-OU,OU=COMPANY,DC=demo,DC=lan
    GUID:   OU=Test-OU,OU=COMPANY,DC=demo,DC=lan
    Class:  organizationalUnit

Attribute:
    LDAP Display Name:  nTSecurityDescriptor
    Syntax (OID):   2.5.5.15
    Value:  O:DAG:DAD:AI(D;;DCDTSD;;;WD)(OA;CI;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;CI;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;CIIO;CCDCLCSWRPWPDTLOCRSDRCWDWO;;bf967a9c-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;CIIO;CCDCLCSWRPWPDTLOCRSDRCWDWO;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1603)(OA;;CCDC;4828cc14-1437-45bc-9b07-ad6f015e5f28;;AO)(OA;;CCDC;bf967a86-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aa8-0de6-11d0-a285-00aa003049e2;;PO)(OA;;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;AO)(A;;LCRPRC;;;S-1-5-21-989513866-1262747471-3324978036-1698)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA)(A;;LCRPLORC;;;ED)(A;;LCRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(OA;CIIOID;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;CR;00299570-246d-11d0-a768-00aa006e0529;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIIOID;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;CC;4828cc14-1437-45bc-9b07-ad6f015e5f28;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967a86-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967a9c-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967aa5-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;bf967aba-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CC;5cb41ed0-0e4c-11d0-a286-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;RP;4c164200-20c0-11d0-a768-00aa006e0529;;S-1-5-21-989513866-1262747471-3324978036-1248)(OA;CIID;RP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;9a7ad945-ca53-11d1-bbd0-0080c76670c0;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;bf967991-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;RP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf967a0a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;9a9a021e-4a5b-11d1-a9c3-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;0296c120-40da-11d1-a9c0-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;934de926-b09e-11d2-aa06-00c04f8eedd8;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;5e353847-f36c-48be-a7f7-49685402503c;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;8d3bca50-1d7e-11d0-a081-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;e48d0154-bcf8-11d1-8702-00c04fb96050;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;275b2f54-982d-4dcd-b0ad-e53501445efb;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;5fd42471-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;5430e777-c3ea-4024-902e-dde192204669;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;6f606079-3a82-4c1b-8efb-dcc8c91d26fe;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;bf967a7a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;bf967a7f-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;614aea82-abc6-4dd0-a148-d67a59c72816;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;66437984-c3c5-498f-b269-987819ef484b;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;77b5b886-944a-11d1-aebd-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;2cc06e9d-6f7e-426a-8825-0215de176e11;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;3263e3b8-fd6b-4c60-87f2-34bdaa9d69eb;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIID;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIID;WP;bf9679c0-0de6-11d0-a285-00aa003049e2;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;3e0abfd0-126a-11d0-a060-00aa006c33ed;;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;WP;7cb4c7d3-8787-42b0-b438-3c5d479ad31e;;S-1-5-21-989513866-1262747471-3324978036-1251)(OA;CIIOID;DTWD;;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;DTWD;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;CCDCLCSWRPWPDTLOCRSDRCWDWO;018849b0-a981-11d2-a9ff-00c04f8eedd8;;S-1-5-21-989513866-1262747471-3324978036-1239)(OA;CIID;CCDCLCSWRPWPDTLOCRSDRCWDWO;018849b0-a981-11d2-a9ff-00c04f8eedd8;;S-1-5-21-989513866-1262747471-3324978036-1252)(OA;CIIOID;SD;;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;bf967a86-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;bf967a9c-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIID;SD;;bf967aa5-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;SD;;5cb41ed0-0e4c-11d0-a286-00aa003049e2;S-1-5-21-989513866-1262747471-3324978036-1254)(OA;CIIOID;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967a86-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIOID;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967a9c-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIOID;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967aba-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIOID;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)(OA;CIIOID;LCRPLORC;;4828cc14-1437-45bc-9b07-ad6f015e5f28;RU)(OA;CIIOID;LCRPLORC;;bf967a9c-0de6-11d0-a285-00aa003049e2;RU)(OA;CIIOID;LCRPLORC;;bf967aba-0de6-11d0-a285-00aa003049e2;RU)(OA;CIID;RP;b1b3a417-ec55-4191-b327-b72e33e38af2;;NS)(OA;CIID;RP;1f298a89-de98-47b8-b5cd-572ad53d267e;;AU)(OA;CIID;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)(OA;CIID;RPWPCR;91e647de-d96f-4b70-9557-d63ff4f3ccd8;;PS)(A;CIID;LCRPLORC;;;S-1-5-21-989513866-1262747471-3324978036-1239)(A;CIID;LCRPLORC;;;S-1-5-21-989513866-1262747471-3324978036-1252)(A;CIID;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-989513866-1262747471-3324978036-519)(A;CIID;LC;;;RU)(A;CIID;CCLCSWRPWPLOCRSDRCWDWO;;;BA)S:AI(OU;CIIDSA;WP;f30e3bbe-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CIIDSA;WP;f30e3bbf-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CIIDSAFA;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;WD)(OU;CIIDSAFA;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;WD)(OU;CIIDSAFA;CR;45ec5156-db7e-47bb-b53f-dbeb2d03c40f;;WD)(OU;CIIDSAFA;CR;ba33815a-4f93-4c76-87f3-57574bff8109;;WD)(OU;CIIDSAFA;CR;ccc2dc7d-a6ad-4a7a-8846-c04e3cc53501;;WD)(OU;CIIDSAFA;CR;bae50096-4752-11d1-9052-00c04fc2d4cf;;WD)(OU;CIIDSAFA;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;WD)(OU;CIIDSAFA;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;WD)(OU;CIIDSAFA;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;WD)(OU;CIIDSAFA;CR;440820ad-65b4-11d1-a3da-0000f875ae0d;;WD)(OU;CIIDSAFA;CR;e2a36dc9-ae17-47c3-b58b-be34c55ba633;;WD)(OU;CIIDSAFA;CR;7726b9d5-a4b4-4288-a6b2-dce952e80a7f;;WD)(OU;CIIDSAFA;CR;f98340fb-7c5b-4cdb-a00b-2ebdfa115a96;;WD)(OU;CIIDSAFA;CCDC;80212842-4bdc-11d1-a9c4-0000f80367c1;;WD)(OU;CIIDSAFA;CCDC;ce206244-5827-4a86-ba1c-1c0c386c1b64;;WD)(OU;CIIDSAFA;CCDC;bf967a86-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;7b8b558a-93a5-4af7-adca-c017e67f1057;;WD)(OU;CIIDSAFA;CCDC;bf967a99-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aa3-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aa5-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aad-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;WD)(OU;CIIDSAFA;CCDC;bf967abb-0de6-11d0-a285-00aa003049e2;;WD)(AU;CIIDSAFA;WPDTSDWDWO;;;WD)

Operation:
    Type:   Value Added
    Correlation ID: {aeeab9c1-2e71-4947-9418-c3b04bf52d1d}
    Application Correlation ID: -
    
por 26.07.2018 / 12:54

Tags

Tentando fazer com que o NGINX trabalhe com PCs que não estão na rede local [closed] Ferramenta Melhor Backup de Fita de Rede