Como lidar com logs de eventos de segurança poluídos?

3

todos!

Recebi a tarefa de resolver um problema com a maneira como gerenciamos os logs de eventos do nosso servidor de arquivos. Atualmente, temos um script que exporta todas as entradas de segurança, uma vez por semana, para uma pasta de backup.

Bem, eu verifiquei esses registros há alguns dias e notei que MUITAS entradas estavam faltando. Acontece que havia tantos eventos que o nosso limite de 128 MB preencheria rapidamente, sobrescrevendo as entradas mais antigas. Nós sempre temos uma média de 130 mil entradas.

Após mais investigações, descobri algumas coisas:

  • A maioria dessas entradas não é relevante. O que nós queremos é a criação de arquivos de log, acesso e exclusão de uma única unidade (d :), principalmente. Ter auditoria de arquivos para o restante do servidor também é desejável, já que seria útil em alguns casos. Não é nossa maior preocupação.
  • Essas entradas "indesejadas" são, na maioria das vezes, assim : entradas sobre um agente do Arcserve que verifica arquivos aleatórios. Eu encontrei o seguinte comando em algum lugar na internet, e se realmente revela o que eu acho que faz, então 96k logs (ou quase 75%) são o resultado deste aplicativo brincando.

    get-eventlog security -Message "*caagstart*"

  • Eu encontrei este GPO aplicando parâmetros de auditoria neste servidor específico. Eu acho, no entanto, que isso sozinho não faria com que cada arquivo fosse auditado - eu esperava encontrar qualquer entrada de auditoria (ou SACL, como eu acho que é chamada) identificando quais pastas deveriam ser auditadas. Não achei nenhum. Eu li em algum lugar que icacls me diriam quais pastas estão sendo auditadas atualmente, mas não consegui gerenciar como fazê-lo funcionar.

Acho que posso criar um script para excluir esses logs relacionados ao Arcserve algumas vezes por dia, mas essa solução não parece ser boa. Eu também poderia configurar algum tipo de servidor de log para coletar e processar esses eventos, mas isso também parece exagerado - tudo o que queremos é poder verificar, se necessário, quem criou, modificou ou apagou um arquivo. Aumentar o número máximo de arquivos é outra solução que não parece muito correta.

Existe alguma maneira de evitar que esse aplicativo gere entradas de log? Alguém recomendou algo mais que eu poderia fazer?

Ah, a propósito: este é um servidor WS2012R2.

    
por gabpalves 13.03.2017 / 21:19

1 resposta

1

Você não pode excluir seletivamente os logs do log de eventos de segurança, pois isso compromete a integridade do log de auditoria. Você pode, no entanto, na maioria dos casos, definir o que faz isso no log.

Aumentar o tamanho do log é algo que você definitivamente deveria fazer, e não há nada de errado com isso. Mesmo aumentar o tamanho do log para 1Gb não deve causar problemas.

Ao auditar uma pasta, você pode especificar qual usuário está sendo auditado. Como o serviço do agente do Arcservce provavelmente é executado em uma conta de usuário exclusiva (e, se isso não ocorrer, altere-o para que funcione), você poderá alterar sua auditoria para que não inclua essa conta de usuário.

Finalmente, obter uma solução de gerenciamento de logs - embora não seja necessário neste caso - não é um exagero. Há muitas soluções por aí que funcionam bem com instalações menores e maiores. Alguns deles (por exemplo, EventSentry ) permitem definir exatamente quais logs devem ser armazenados e quais deles devem ser excluídos.

    
por 14.03.2017 / 15:36