Windws Server 2012 R2 Log de Eventos / Auditar arquivos apagados / Apenas os últimos minutos visíveis

2

Meu objetivo: desejo descobrir quem exclui arquivos em um compartilhamento de rede. Às vezes, os usuários reclamam que um arquivo está faltando e, como de costume, os demais são os culpados.

Eu tenho auditoria de arquivos ativada para esses compartilhamentos de rede. Se eu for ao visualizador de eventos para dar uma olhada nos eventos de auditoria, vejo uma tonelada deles, às vezes mais de 100 do mesmo usuário no mesmo segundo, apenas "ReadAttributes" ou "ReadData (ou ListDirectory)". (Eu suponho índice de pesquisa ou similar)

Como posso desabilitar o registro desses eventos para que eles não inundem meu log de eventos?

Minha solução é criar um filtro XML usando

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
    *
</Select>
<Suppress Path="Security">
    *[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]]
</Suppress>
</Query>
</QueryList>

para exibir apenas os registros importantes , como alterações e exclusões. Há sempre entre 28 e 29k eventos no log de segurança.

Talvez por causa dessa inundação eu possa ver apenas os registros dos últimos minutos, mas não de 1 hora atrás ou mais. Além disso, se eu usar filtros XML. Por exemplo, se eu correr

<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
 *[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]]
</Select>
</Query>
</QueryList>

para mostrar as exclusões de arquivos, só vejo as de como nos últimos cinco minutos. Se eu olhar dez minutos depois, vejo uma saída completamente diferente e não há mais arquivos excluídos há 15 minutos.

Existe um número máximo de eventos no log e, se for alcançado, os mais antigos serão excluídos? Um arquivo? Onde posso encontrar os registros de um dia atrás?

No geral, isso faz com que o log de auditoria não faça sentido, pois normalmente apenas após alguns dias (se não semanas) algum usuário descobre que um arquivo importante foi excluído. Sugestões?

    
por AUTxRemoteC 03.06.2016 / 20:20

1 resposta

1

A melhor maneira de reduzir o ruído que você está vendo é alterar as configurações de auditoria que você ativou no (s) compartilhamento (s) de arquivos.

Eu suspeito que, quando você ativou a auditoria, marcou todas as caixas para todos os tipos de acesso, incluindo o acesso "Leitura". Isso é obrigado a inundar o log de eventos, pois o Windows registrará um evento 4663 para cada acesso de leitura ao arquivo e / ou diretório.

Sugiro que você revise as configurações de auditoria e ative apenas a auditoria para atividades de gravação (por exemplo, WriteData, etc.). Isso deve reduzir significativamente o ruído.

Como alternativa, você também pode aumentar o tamanho do log de eventos de segurança. Você pode fazer isso no visualizador de eventos do Windows clicando com o botão direito do mouse no log. Se o tamanho for controlado pela política de grupo, você terá que editar a política de grupo correspondente.

Ah, e bom trabalho nesses filtros de log de eventos!

    
por 05.06.2016 / 01:12