Еще раз предисловие: я администратор Linux.
Есть ли способ уменьшить количество подробностей сообщений журнала безопасности Windows Server? Например, каждый Событие входа в систему «4624» содержит этот дополнительный текст, описывающий, что такое событие входа в систему. Да, я знаю, что такое событие входа в систему. На данный момент я даже знаю, что такое идентификатор события 4624. А если нет, я могу просто посмотреть подробности.
Пример:
Computer = "dc1.example.com";
EventCode = 4624;
EventIdentifier = 4624;
Logfile = "Security";
...snip...
...
...useful info...
...THIS:
This event is generated when a logon session is created. It is generated on the computer that was accessed.
The subject fields indicate etc etc etc etc - 1.6k worth!!
Все это лишнее многословие сокрушает мою службу регистрации!
Я нашел в Интернете еще одного человека с этой проблемой, что меня очень удивило! И у этого человека было решение для Splunk. Я бы предпочел решение для Windows, так как я не использую Splunk.
Все события Windows существуют в двух форматах: XML и визуализированный текст. Обычно вам нужны только данные Xml. Если сборщики Sumo настроены на отправку визуализированного текста (кажется, что это так), 80% ваших данных журнала - бесполезный избыточный мусор.
Параметр «renderMessages» кажется применимым. по умолчанию: True
Флаг, указывающий, собираются ли все сообщения о событиях (истина) или только основные метаданные события (ложь)
Если вас беспокоит использование диска, вы можете установить для журнала событий значение «архивировать при заполнении» и включить дедупликацию на томе. Вам понадобится что-то для управления журналами, иначе они будут расти вечно.