Estou trabalhando para modificar nossa configuração atual de log do Windows e encontrei um problema que não consigo encontrar a resposta. Atualmente, temos o nxlog configurado em cada controlador de domínio para enviar as identificações de eventos do Windows 4624 e 4625 a um servidor de log central para obter informações básicas de login do usuário, com êxito ou com falha. A configuração do nxlog funciona muito bem, mas o problema que tenho é com eventos de logon excessivos.
Ao testar a configuração, eu entrei em algumas máquinas diferentes usando minhas credenciais de domínio. Em cada teste, recebi entre 10 e 70 4624 eventos por login. Eles eram todos "Microsoft-Windows-Security-Auditing [524]: Uma conta foi logada com sucesso. Tipo de Logon: 3" tipo de log e sempre veio do mesmo DC.
Abaixo está um exemplo de log que é basicamente repetido várias vezes.
Dec 17 13:02:57 dc1.domain.com Microsoft-Windows-Security-Auditing[536]: An account was successfully logged on. Subject: Security ID: ________ Account Name: -
Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: __________ Account Name: my_user_name
Account Domain: my_domain Logon ID: __________ Logon GUID:
{_________} Process Information: Process ID: 0x0 Process Name: - Network Information:
Workstation Name: Source Network Address: 192.168.1.10 Source Port: 61371
Eu quero que ele me diga que o usuário X está efetuando login, mas preciso apenas de uma dessas entradas por login e não de várias.
Qualquer ajuda seria muito apreciada.
Obrigado Eric