Windows-Server-2016

Windows server 2016 安全日誌 - 刪除額外的描述文本?

  • August 19, 2021

再次前言:我是 Linux 管理員。

有什麼方法可以減少 Windows Server 安全日誌​​消息的詳細程度?例如,每個登錄事件“4624”都有這個額外的文本來描述什麼是登錄事件。是的,我知道什麼是登錄事件。此時我什至知道事件 ID 4624 是什麼。如果我不這樣做,我可以查看詳細資訊。

例子:

   Computer = "dc1.example.com";
   EventCode = 4624;
   EventIdentifier = 4624;
   Logfile = "Security";
...snip...
...
...useful info...
...THIS:
This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate etc etc etc etc - 1.6k worth!!

所有額外的冗長都破壞了我的日誌服務!

我在網際網路上找到了另一個有這個問題的人,我覺得這很令人驚訝!那個人有一個 Splunk 特定的解決方案。我更喜歡 Windows 原生解決方案,因為我沒有使用 Splunk。

所有 Windows 事件都以兩種格式存在:Xml 和 Rendered Text。通常您只需要 Xml 數據。如果 Sumo 收集器配置為發送渲染文本(看起來很像),則 80% 的日誌數據是無用的冗餘垃圾。

“renderMessages”設置似乎適用。預設值:真

指示是收集完整事件消息 (true) 還是僅收集核心事件元數據 (false) 的標誌

https://help.sumologic.com/03Send-Data/Sources/03Use-JSON-to-Configure-Sources/JSON-Parameters-for-Installed-Sources#Local_Windows_Event_Log_Source

引用自:https://serverfault.com/questions/938859