我有一个旧的2003服务器,承载运行在Windows身份validationIIS的内部应用程序。 是否有现成的方法来禁用审核只为logintypes3(networkinglogin)?
这个应用程序在一天内生成100K +的Windowslogin事件。 我已经看到很多说明,简单地禁用审计作为一个整体,但没有压制这一个具体的types。
较新的Windows版本允许使用策略或auditpol.exe更细化地控制审计事件,但是即使在那里,您也只能select整个“子类别”而不能select单个事件logintypes。
如果你需要更细化的filter,你可能不得不求助于一些外部的日志服务器解决scheme。 您可以使用Snare Agent收集,过滤并转发您的事件到像Kiwi syslog这样的系统日志服务器。