Windows-Server-2008

Redirect to new log file selected event id - 管理安全事件 id 4624 和 4634 氾濫

  • May 26, 2016

我的網路的兩個域控制器的安全日誌被安全事件 id 4624 和 4634 以及在較小程度上 4672 淹沒。從網際網路上讀取這種行為很常見,並不一定意味著潛在的問題/問題。

然而,這樣的洪水破壞了日誌的有用性:資訊太多,沒有資訊。

我想對 Windows 伺服器說:不要將事件 id 4624 和 4634 寫入安全日誌,而是將其寫入僅用於這些事件的新日誌文件。這樣,我不會降低系統的安全性(審計能力),但我會改進修改後的安全日誌所攜帶的資訊。

這可能嗎?這是值得建議的嗎?

謝謝,

迭戈

雖然 Windows 允許過濾,但您不能將基於 ID 的某些事件轉移到不同的日誌。在某種程度上可以將某些事件源轉移到它們自己的事件日誌(例如,您可以為軟體產品創建特定日誌並將其事件重定向到該日誌),但安全日誌幾乎是不可變的。

如果這對您來說真的很麻煩,那麼您可能需要投資某種日誌監控解決方案,它允許您將事件儲存在數據庫、遠端系統日誌伺服器甚至文本文件中。當然,這些產品通常會提供額外的功能,例如警報、規範化、關聯、歸檔等。

EventSentry就是這樣一款專注於 Windows 的產品,但還有更多——包括免費和開源的產品。例如,使用 EventSentry,您可以輕鬆/自動地從這些事件中過濾掉噪音,甚至可以將 4624 完全儲存在單獨的數據庫中。

引用自:https://serverfault.com/questions/779066