înregistrare Logare
Puncte:3
Teo B avatar Server

Jurnalele de audit Windows Server

drapel in
Teo B

Am un controler de domeniu Windows Server 2012r2 și un server de fișiere. Am activat auditarea pentru un anumit folder pe care vreau să-l monitorizez. Colectez jurnalele pe un server centralizat graylog.Primesc jurnalele de audit corect, problema este că primesc și o mulțime de jurnale ale fișierelor accesate de software-ul av bitdefender și de software-ul de sincronizare în cloud pe care îl folosesc pentru a-mi sincroniza fișierele în cloud. Serverul meu graylog este supraîncărcat cu mesaje pe care nu le vreau. Pot filtra mesajele pe care le doresc în greylog, dar așa cum am spus, nu vreau să le primesc ca jurnal de audit.

Există vreo modalitate de a exclude programul av și programul de sincronizare de la a fi conectat în vizualizatorul de evenimente Windows?

Mulțumesc anticipat.

146
0 + 0
Alex avatar
drapel us
Alex
De asemenea, aș sugera să mutați această întrebare pe forumul de securitate a informațiilor (https://security.stackexchange.com/), o puteți face semnalând întrebarea pentru examinare (https://meta.stackexchange.com/questions/184657/how -transfer-această-întrebare-întrebată-pe-stiva-de-depășire-în-exchan-ul-stivă-matematică)
0
Răspunde
Puncte:0
Alex avatar Server
drapel us
Alex

Nu am auzit niciodată de o astfel de posibilitate în auditul Windows și sunt aproape convins că acest lucru nu poate fi realizat. Poate că puteți atenua problema, dacă oricare dintre cele de mai jos ar funcționa pentru dvs.:

  1. Excludeți acest folder din scanările AV sau ajustați politica de scanare pentru acest folder, astfel încât fișierele cu risc scăzut (de exemplu, TXT etc.) să fie excluse
  2. Activați auditarea numai pentru fișierele critice
  3. Activați auditarea numai pentru operațiuni specifice (de exemplu, scriere) - în mod ideal, antivirusul nu vă va edita fișierele, nici aplicația de sincronizare în cloud.
  4. Eliminați jurnalele de audit Windows în favoarea unei soluții specializate de monitorizare a integrității fișierelor (FIM) sau de prevenire a scurgerilor de date (DLP) care are aceste capacități.

Trebuie să precizez că mă refer la opțiunea de audit în sine. Nu știu în mod specific cum colectați jurnalele din Vizualizatorul de evenimente. Poate că există o modalitate de a le filtra înainte de a pleca de la mașina Windows la serverul Graylog; poate că există o modalitate de a forța Graylog să trimită o anumită interogare cu aceste jurnale filtrate. Dar asta ar fi mai degrabă o întrebare despre Graylog în sine, nu despre jurnalele de securitate Windows.

P.S. O întrebare semi-legată, de asemenea fără răspuns: Excluderea anumitor tipuri de fișiere dintr-un audit de securitate în Windows Server 2008

0 + 0
Teo B avatar
drapel in
Teo B
Mulțumesc Alex. Răspunsul pare legitim. Va monitoriza numai ștergerile și editarea scrisului. Voi încerca asta mâine dimineață la serviciu. Va posta rezultatele.
0
Răspunde
Teo B avatar
drapel in
Teo B
Auditul său de funcționare numai pentru scrierea și ștergerea editării create. MNu mai multe tone de intrări de jurnal din av și sincronizare. Acum pot filtra și extrage informațiile pe care le doresc în graylog. Multumesc din nou
0
Răspunde
Alex avatar
drapel us
Alex
Mă bucur să aud asta. Dacă vă ajută, vă rugăm să marcați-l ca răspuns. Și, de asemenea, încercați o abordare propusă de Greg în al doilea răspuns - poate că există o modalitate de a filtra la nivel de sistem de operare folosind WEF.
0
Răspunde
Puncte:0
avatar Server
drapel cn
Greg Askew

Nu este posibil să selectați cu granularitate ce evenimente pentru o subcategorie sunt înregistrate. Ceea ce ați putea este să configurați un redirecționar de evenimente Windows și să specificați un filtru pentru abonament care suprimă evenimentele pe care nu le doriți, apoi să solicitați acelui server să trimită jurnalul în SIEM.

Puteți, de asemenea, să revizuiți ceea ce auditați. Dacă este necesară citirea, este posibil să nu existe flexibilitate. Dacă sunteți interesat doar de modificări, puteți exclude diferitele casete de selectare de auditare a citirii, ceea ce vă poate ajuta cu volumul.

0 + 0
Teo B avatar
drapel in
Teo B
Redirec jurnalele cu nx log ce momentan. Voi testa alte instrumente într-un al doilea moment. Multumesc Greg.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.