我的网络的两个域控制器的安全日志被安全事件 id 4624 和 4634 以及在较小程度上 4672 淹没。从互联网上读取这种行为很常见,并不一定意味着潜在的问题/问题。
然而,这样的洪水破坏了日志的有用性:信息太多,没有信息。
我想对 Windows 服务器说:不要将事件 id 4624 和 4634 写入安全日志,而是将其写入仅用于这些事件的新日志文件。这样,我不会降低系统的安全性(审计能力),但我会改进修改后的安全日志所携带的信息。
这可能吗?这是值得建议的吗?
谢谢,
迭戈
AskOverflow.Dev
虽然 Windows 允许过滤,但您不能将基于 ID 的某些事件转移到不同的日志。在某种程度上可以将某些事件源转移到它们自己的事件日志(例如,您可以为软件产品创建特定日志并将其事件重定向到该日志),但安全日志几乎是不可变的。
如果这对您来说真的很麻烦,那么您可能需要投资某种日志监控解决方案,它允许您将事件存储在数据库、远程系统日志服务器甚至文本文件中。当然,这些产品通常会提供额外的功能,例如警报、规范化、关联、归档等。
EventSentry就是这样一款专注于 Windows 的产品,但还有更多——包括免费和开源的产品。例如,使用 EventSentry,您可以在轻松/自动过滤掉这些事件中的噪音的同时查看事件,甚至可以将 4624 完全存储在单独的数据库中。