我的networking的两个域控制器的安全日志被安全事件id 4624和4634以及更小程度的4672洪泛。从互联网上读取这样的行为是相当普遍的,并不一定意味着潜在的问题/问题。
然而,这样的洪水破坏了一个日志的用处:太多的信息,没有信息。
我想对Windows Server说:不要将事件ID 4624和4634写入安全日志,而是将其写入新的日志文件,仅用于这些事件。 这样我就不会降低系统的安全性(审计能力),但我会改进修改后的安全日志所携带的信息。
这可能吗? 这是可取的吗?
谢谢,
迭戈
虽然Windows允许过滤,但您不能将基于ID的某些事件转移到其他日志。 在某种程度上,可以将某些事件源转移到他们自己的事件日志中(例如,您可以为软件产品创build特定日志并将其事件redirect到该日志),但安全日志几乎是不可变的。
如果这对您来说真的很麻烦,那么您可能需要投入某种日志监控解决scheme,这样可以将事件存储在数据库,远程系统日志服务器甚至文本文件中。 当然,这些产品通常还提供其他function,如警报,标准化,关联,归档等等。
一个关注Windows的产品是EventSentry ,但还有更多 – 包括免费和开源的产品。 例如,通过使用EventSentry,您可以查看事件,同时轻松/自动过滤这些事件中的噪音,甚至可以将4624存储在单独的数据库中。