我的网络的两个域控制器的安全日志被安全事件 id 4624 和 4634 以及在较小程度上 4672 淹没。从互联网上读取这种行为很常见,并不一定意味着潜在的问题/问题。
然而,这样的洪水破坏了日志的有用性:信息太多,没有信息。
我想对 Windows 服务器说:不要将事件 id 4624 和 4634 写入安全日志,而是将其写入仅用于这些事件的新日志文件。这样,我不会降低系统的安全性(审计能力),但我会改进修改后的安全日志所携带的信息。
这可能吗?这是值得建议的吗?
谢谢,
迭戈
主页
/
user-322339