журналы безопасности двух контроллеров домена моей сети переполнены событиями безопасности с идентификаторами 4624 и 4634 и, в меньшей степени, 4672. Чтение из Интернета такое поведение довольно распространено и не обязательно означает основную проблему / проблему.
Однако такой поток подрывает полезность журнала: слишком много информации - нет информации.
Я хотел бы сказать серверу Windows: не записывайте идентификаторы события 4624 и 4634 в журнал безопасности, а вместо этого записывайте его в новый файл журнала, используемый только для этих событий. Таким образом, я бы не снизил безопасность (возможности аудита) системы, но улучшил бы информацию, содержащуюся в измененном журнале безопасности.
Это возможно? Это можно посоветовать?
Спасибо,
Диего
Хотя Windows позволяет фильтровать, вы не можете перенаправить определенные события на основе идентификатора в другой журнал. В некоторой степени возможно перенаправить определенные источники событий в их собственный журнал событий (например, вы можете создать специальный журнал для программного продукта и перенаправить его события в этот журнал), но журнал безопасности в значительной степени неизменен.
Если вас это действительно беспокоит, то вам, вероятно, придется вложиться в какое-то решение для мониторинга журналов, которое позволит вам сохранять события в базе данных, на удаленном сервере системного журнала или даже в текстовом файле. Конечно, эти продукты часто предлагают дополнительные возможности, такие как оповещение, нормализация, корреляция, архивирование и многое другое.
Одним из таких продуктов, ориентированных на Windows, является EventSentry, но их гораздо больше, в том числе бесплатные и с открытым исходным кодом. Например, с помощью EventSentry вы можете просматривать события, легко / автоматически отфильтровывая шум из этих событий, или даже хранить 4624 в отдельной базе данных.