再次前言:我是 Linux 管理员。
有什么方法可以减少 Windows Server 安全日志消息的详细程度?例如,每个登录事件“4624”都有这个额外的文本来描述什么是登录事件。是的,我知道什么是登录事件。此时我什至知道事件 ID 4624 是什么。如果我不这样做,我可以查看详细信息。
例子:
Computer = "dc1.example.com";
EventCode = 4624;
EventIdentifier = 4624;
Logfile = "Security";
...snip...
...
...useful info...
...THIS:
This event is generated when a logon session is created. It is generated on the computer that was accessed.
The subject fields indicate etc etc etc etc - 1.6k worth!!
所有额外的冗长都破坏了我的日志服务!
我在互联网上找到了另一个有这个问题的人,我觉得这很令人惊讶!那个人有一个 Splunk 特定的解决方案。我更喜欢 Windows 原生解决方案,因为我没有使用 Splunk。
所有 Windows 事件都以两种格式存在:Xml 和 Rendered Text。通常您只需要 Xml 数据。如果 Sumo 收集器配置为发送渲染文本(看起来很像),则 80% 的日志数据是无用的冗余垃圾。
“renderMessages”设置似乎适用。默认值:真
指示是收集完整事件消息 (true) 还是仅收集核心事件元数据 (false) 的标志
https://help.sumologic.com/03Send-Data/Sources/03Use-JSON-to-Configure-Sources/JSON-Parameters-for-Installed-Sources#Local_Windows_Event_Log_Source
如果您执行 Windows 事件转发 - Windows 事件收集器订阅,则有一个选项。然后,您可以通过将 <ContentFormat> 作为“事件”而不是“RenderedText”发送来更改事件。
如果您担心磁盘使用情况,则可以将事件日志设置为“满时归档”并在卷上启用重复数据删除。您需要一些东西来管理日志,否则它们将永远增长。