Redirecionar para novo ID de evento de arquivo de log selecionado - Gerenciar o evento de segurança id 4624 e 4634 flooding

1

os logs de segurança dos dois controladores de domínio da minha rede são inundados pelos eventos de segurança id 4624 e 4634 e, em menor escala, 4672. Leitura da Internet é um comportamento bastante comum e não significa necessariamente um problema subjacente / problema.

No entanto, tal inundação prejudica a utilidade de um log: muita informação, nenhuma informação.

Eu gostaria de dizer ao windows server: não grave o id de evento 4624 e 4634 no log de segurança, mas, em vez disso, grave-o em um novo arquivo de log, usado apenas para esses eventos. Dessa forma, eu não reduziria a segurança (habilidades de auditoria) do sistema, mas melhoraria as informações transportadas pelo registro de segurança modificado.

Isso é possível? Isso é aconselhável?

Obrigado,

Diego

    
por Diego A 25.05.2016 / 22:18

1 resposta

0

Embora o Windows permita a filtragem, não é possível desviar determinados eventos com base no ID para um log diferente. É até certo ponto possível desviar certas fontes de eventos para seu próprio log de eventos (por exemplo, você pode criar um log específico para um produto de software e redirecionar seus eventos para esse log), mas o log de segurança é praticamente imutável.

Se isso for realmente incômodo para você, provavelmente será necessário investir em algum tipo de solução de monitoramento de logs, o que permitiria armazenar eventos em um banco de dados, um servidor syslog remoto ou até mesmo um arquivo de texto. É claro que esses produtos geralmente oferecem recursos adicionais, como alertas, normalização, correlação, arquivamento e muito mais.

Um desses produtos com foco no Windows é EventSentry , mas há muitos mais, incluindo o & ; os de código aberto. Por exemplo, com o EventSentry, você pode revisar os eventos enquanto filtra de maneira fácil / automática o ruído desses eventos ou até armazena o 4624 em um banco de dados separado.

    
por 26.05.2016 / 15:43