Redirect to new log file selected event id - 管理安全事件 id 4624 和 4634 氾濫

我的網路的兩個域控制器的安全日誌被安全事件 id 4624 和 4634 以及在較小程度上 4672 淹沒。從網際網路上讀取這種行為很常見，並不一定意味著潛在的問題/問題。

然而，這樣的洪水破壞了日誌的有用性：資訊太多，沒有資訊。

我想對 Windows 伺服器說：不要將事件 id 4624 和 4634 寫入安全日誌，而是將其寫入僅用於這些事件的新日誌文件。這樣，我不會降低系統的安全性（審計能力），但我會改進修改後的安全日誌所攜帶的資訊。

這可能嗎？這是值得建議的嗎？

謝謝，

迭戈

雖然 Windows 允許過濾，但您不能將基於 ID 的某些事件轉移到不同的日誌。在某種程度上可以將某些事件源轉移到它們自己的事件日誌（例如，您可以為軟體產品創建特定日誌並將其事件重定向到該日誌），但安全日誌幾乎是不可變的。

如果這對您來說真的很麻煩，那麼您可能需要投資某種日誌監控解決方案，它允許您將事件儲存在數據庫、遠端系統日誌伺服器甚至文本文件中。當然，這些產品通常會提供額外的功能，例如警報、規範化、關聯、歸檔等。

EventSentry就是這樣一款專注於 Windows 的產品，但還有更多——包括免費和開源的產品。例如，使用 EventSentry，您可以輕鬆/自動地從這些事件中過濾掉噪音，甚至可以將 4624 完全儲存在單獨的數據庫中。

引用自：https://serverfault.com/questions/779066