Windows-Server-2016
Windows server 2016 安全日誌 - 刪除額外的描述文本?
再次前言:我是 Linux 管理員。
有什麼方法可以減少 Windows Server 安全日誌消息的詳細程度?例如,每個登錄事件“4624”都有這個額外的文本來描述什麼是登錄事件。是的,我知道什麼是登錄事件。此時我什至知道事件 ID 4624 是什麼。如果我不這樣做,我可以查看詳細資訊。
例子:
Computer = "dc1.example.com"; EventCode = 4624; EventIdentifier = 4624; Logfile = "Security"; ...snip... ... ...useful info... ...THIS: This event is generated when a logon session is created. It is generated on the computer that was accessed. The subject fields indicate etc etc etc etc - 1.6k worth!!所有額外的冗長都破壞了我的日誌服務!
我在網際網路上找到了另一個有這個問題的人,我覺得這很令人驚訝!那個人有一個 Splunk 特定的解決方案。我更喜歡 Windows 原生解決方案,因為我沒有使用 Splunk。
所有 Windows 事件都以兩種格式存在:Xml 和 Rendered Text。通常您只需要 Xml 數據。如果 Sumo 收集器配置為發送渲染文本(看起來很像),則 80% 的日誌數據是無用的冗餘垃圾。
“renderMessages”設置似乎適用。預設值:真
指示是收集完整事件消息 (true) 還是僅收集核心事件元數據 (false) 的標誌