服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 保留事件日志
Intereting Posts
configuration服务器以通过OpenVPN路由所有stream量 sql2005维护计划4 bak文件? WDS错误:无法连接到部署共享 Oracle:1台大型服务器还是2台小型服务器? DCOM安全设置不导出与secedit Raid控制器 – 要查找的规格? 无法通过sqlmd连接到SQL Server 2008 NFSv4“太多级别的符号链接”错误 IPTables:允许传出SSH HA-Proxy和ACL用于http请求拒绝 在VM内运行高CPU使用率的应用程序时,我可以利用虚拟机pipe理程序的物理CPU内核的完整性能吗? 如何将服务包安装到瘦应用程序和其他问题 如何续订Windows Server 2008中的Web服务器证书? 哪些操作系统随附有StartCom_Certification_Authority.pem 科学的Linux:错误的networking引导后无法访问RAID5

保留事件日志

好,我希望一个基本的问题…

背景

目前有一个计划,在我正在pipe理的一个networking上实施审计,他们希望设置事件查看器以保留31天的事件

什么是build议的日志文件的网站? 如果事件日志已满,会发生什么情况,但没有任何文件已超过31天的时间。

希望有一个简单的问题在这之前没有遇到过:)

31天似乎不合理,但完全取决于logging的内容以及日志的潜在用途。 事件日志的大小完全取决于logging了多less事件。 您可以在31天内修复事件日志保留,但您需要考虑:

  • 即使您对事件日志大小进行“基准testing”,并知道它通常会保持31天的可接受大小,那么exception的情况会导致它的大小增长? 有机会也是你想要去看事件日志的时候。
  • 如果将事件日志保留时间设置为固定的时间段,那么您可以利用漏洞进行攻击:攻击者只需确定在事件日志中进行input的任何方法,然后重复该操作很多次,您的服务器上的可用空间。 一个不太可能发生的情况,但是突出了当您select特定日志保留策略时“有趣”

您可能希望将事件日志转发configuration到具有大量备用磁盘空间的中央服务器。

**如果您select“在x事件之后旋转”,则会发生更有趣的事情。 在这种情况下,攻击者可以对服务器做任何他们喜欢的事情,然后只是垃圾邮件事件日志来刷新他们的行动logging,并清除他们的轨道。

说实话,事件查看器是微软产品中最薄弱的一个。 安装第三方事件日志处理程序。 我在自己的机器上使用Splunk(如果您logging的是less量数据,那么可以免费下载,但随着您的增长而增加成本)。 它不仅读取事件日志,而且还读取WMI,Perfmon和SQL Server日志等内容。