大家!
我的任务是用我们从文件服务器pipe理事件日志的方式解决问题。 目前,我们有一个脚本,每周一次将所有安全条目导出到备份文件夹。
好吧,我几天前检查了这些日志,注意到很多条目都丢失了。 事实certificate,有那么多的事件,我们的128mb的限制会很快填补,覆盖最旧的条目。 我们总是有平均13万条目。
经过进一步调查,我发现了一些事情:
这些“不受欢迎的”条目大多是这样的 :有关Arcserve代理检查随机文件的条目。 我在互联网上的某处发现了下面的命令,如果它真的揭示了我的想法,那么96k的日志(或者将近75%)就是这个应用程序的结果。
get-eventlog security -Message "*caagstart*"
我发现这个GPO在这个特定的服务器上应用审计参数。 不过,我认为这样做并不会使每一个文件都被审计 – 我希望能够find任何审计logging(或称SACL,正如我所认为的那样),以确定哪些文件夹应该被审计。 找不到任何东西。 我读了icacls会告诉我哪些文件夹目前正在审计,但我不知道如何使其工作。
我想我可以创build一些脚本来每天删除这些与Arcserve相关的日志,但是这个解决scheme似乎并不是一个好的解决scheme。 我也可以设置某种日志服务器来收集和处理这些事件,但是这似乎也是一个很大的问题 – 我们只需要检查是否需要创build,修改或删除文件。 提高最大文件数量是另一个不太合适的解决scheme。
有什么办法可以阻止这个应用程序生成日志条目? 有人build议我可以做什么吗?
哦,顺便说一句:这是一个WS2012R2服务器。
您不能有select地从安全事件日志中删除日志,因为这会危害审计日志的完整性。 但是,在大多数情况下,您可以定义什么使其进入日志。
增加日志的大小是你应该做的事情,没有什么错。 即使将日志的大小增加到1Gb也不会造成任何问题。
审核文件夹时,您可以指定正在审核哪个用户。 由于Arcservce代理服务可能运行在一个唯一的用户帐户下(如果没有,请将其更改为这样),您应该能够更改您的审计,使其不包含该用户帐户。
最后,获得一个日志pipe理解决scheme – 虽然在这种情况下不是必要的 – 并不是矫枉过正。 有大量的解决scheme,适用于更小和更大的安装。 其中一些(例如EventSentry )可以让你准确地定义要存储的日志以及要排除的日志。