一位同事和我一直在讨论Windows上的IS审计演示。
我们希望覆盖的一点是,pipe理/高权限用户应该在发生故障事件的X小时内查看安全日志。 如下所示
基本上我想知道是否有可能validation安全日志上次查看的时间和人数。 可以这样做吗?
我会采取不同的方法。 一个集中的日志pipe理程序,通过特定的服务器事件生成它自己的事件,这些事件可以1)创build帮助台票证或2允许使用pipe理工具确认事件。
请记住,你的工作是把需要审查的事件的数量降到最低,否则你只会产生噪音,增加无用的工作量。 服务器日志会产生很多噪音,因为它们背后的智能很less。