我的目标:我想找出谁删除networking共享上的文件。 用户有时会抱怨说文件丢失了,像往常一样,其他的都是怪罪。
我为此networking共享启用了文件审核function。 如果我去事件查看器查看审计事件,我会看到大量的审计事件,有时来自同一用户的同一秒内超过100个,只有“ReadAttributes”或“ReadData(或ListDirectory)”。 (我假设search索引或类似)
我怎样才能禁用日志logging这个事件,所以他们不洪水我的事件日志?
我的解决方法是使用XMLfilter
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> * </Select> <Suppress Path="Security"> *[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]] </Suppress> </Query> </QueryList> 只显示更改和删除等重要日志。 安全日志中总是有28-29k个事件。
也许因为洪水,我只能看到最后几分钟的日志,而不是从1小时前或更长时间。 另外如果我使用XMLfilter。 例如,如果我运行
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]] </Select> </Query> </QueryList>
显示文件删除,我只看到像过去五分钟的。 如果十分钟之后我看到一个完全不同的输出,而不再是15分钟前删除的文件。
在日志中是否有最大数量的事件,如果已经达到,那么旧的会被删除? 档案? 我从哪里可以find一天前的日志?
总之,这使得审计日志通常只有在几天之后(如果不是几周的话)才会发现一个重要的文件被删除。 build议?
减less噪音的最佳方法是更改您在文件共享上启用的审核设置。
我怀疑,当你启用审计,你检查所有types的访问,包括“读”访问的所有框。 这将被洪泛的事件日志,因为Windows将logging一个4663事件的每个读取访问的文件和/或目录。
我build议你查看审计设置,只启用审计写活动(如WriteData等)。 这应该会显着降低噪音。
或者,您也可以增加安全事件日志的大小。 您可以通过右键单击日志在Windows事件查看器中执行此操作。 如果大小由组策略控制,那么您将不得不编辑相应的组策略。
噢,在这些事件日志filter上做得很好!