Por que o Log de Segurança do Windows está usando formatos diferentes em máquinas que parecem ser as mesmas?

Question

Por que o Log de Segurança do Windows está usando formatos diferentes em máquinas que parecem ser as mesmas?

1

Eu tenho um grupo de computadores semelhantes (Win 7) que estou trabalhando na criação de algumas regras de monitoramento de eventos, mas notei algo estranho sobre o que estou recebendo.

Uma máquina no grupo está retornando mensagens de log muito detalhadas:

<13>Mar 24 13:42:21 MACHINE123 AgentDevice=WindowsLog    AgentLogFile=Security    PluginVersion=7.1.4.698761    Source=Microsoft-Windows-Security-Auditing    Computer=MACHINE123.SOMECORP.Local    User=    Domain=    EventID=4648    EventIDCode=4648    EventType=8    EventCategory=12544    RecordNumber=487779    TimeGenerated=1427218938    TimeWritten=1427218938    Level=0    Keywords=0    Task=0    Opcode=0    Message=A logon was attempted using explicit credentials.  Subject:  Security ID:  SOMECORP\UserA  Account Name:  usera  Account Domain:  SOMECORP  Logon ID:  0x1234567  Logon GUID:  {AAAAAAAA-FFFF-E6AB-3B67-FE7473A02CE9}  Account Whose Credentials Were Used:  Account Name:  [email protected]  Account Domain:  SOMECORP  Logon GUID:  {00000000-0000-0000-0000-000000000000}  Target Server:  Target Server Name: EXCHANGE.SOMECORP.Local  Additional Information: EXCHANGE.SOMECORP.Local  Process Information:  Process ID:  0xa04  Process Name:  C:\Program Files\Microsoft Office 15\root\office15\outlook.exe  Network Information:  Network Address: -  Port:   -  This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials.  This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.

No entanto, os outros estão enviando uma versão abreviada do mesmo evento:

<13>Mar 24 14:33:32 MACHINE456 AgentDevice=WindowsLog    AgentLogFile=Security    PluginVersion=7.1.4.698761    Source=Microsoft-Windows-Security-Auditing    Computer=MACHINE456.SOMECORP.Local    User=    Domain=    EventID=4648    EventIDCode=4648    EventType=8    EventCategory=12544    RecordNumber=505638    TimeGenerated=1427222009    TimeWritten=1427222009    Level=0    Keywords=0    Task=0    Opcode=0    Message=SOMECORP\UserB USERB SOMECORP 0x7654321 {BBBBBBBB-EEEE-3CB9-D00A-A56E3F838596} [email protected] SOMECORP {00000000-0000-0000-0000-000000000000} EXCHANGE.SOMECORP.Local EXCHANGE.SOMECORP.Local 0x1230 C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.EXE - -

O problema que tenho é que meu processador de eventos não está analisando a última mensagem porque os descritores de campo não estão nela. Prefiro não precisar gastar muito tempo configurando uma implementação personalizada de um analisador que deve funcionar imediatamente.

Por que o mesmo evento geraria duas mensagens de log bem diferentes em computadores diferentes? Existe alguma opção de configuração ou política que eu deva analisar para ver se eles estão no mesmo formato?

windows windows-event-log

por Eric Kolb 25.03.2015 / 02:35

0 respostas

Tags windows windows-event-log

Redirecionar a conexão WAN de entrada para outro host WAN com iptables configuração virtualHost para o Apache 2.4 com o tomcat 5.5