У меня есть группа подобных компьютеров (Win 7), над которыми я работаю над созданием некоторых правил мониторинга событий, но я заметил что-то странное в том, что я получаю.
Одна машина в группе возвращает очень подробные сообщения журнала:
<13>Mar 24 13:42:21 MACHINE123 AgentDevice=WindowsLog AgentLogFile=Security PluginVersion=7.1.4.698761 Source=Microsoft-Windows-Security-Auditing Computer=MACHINE123.SOMECORP.Local User= Domain= EventID=4648 EventIDCode=4648 EventType=8 EventCategory=12544 RecordNumber=487779 TimeGenerated=1427218938 TimeWritten=1427218938 Level=0 Keywords=0 Task=0 Opcode=0 Message=A logon was attempted using explicit credentials. Subject: Security ID: SOMECORP\UserA Account Name: usera Account Domain: SOMECORP Logon ID: 0x1234567 Logon GUID: {AAAAAAAA-FFFF-E6AB-3B67-FE7473A02CE9} Account Whose Credentials Were Used: Account Name: A.User@SomeCorp.com Account Domain: SOMECORP Logon GUID: {00000000-0000-0000-0000-000000000000} Target Server: Target Server Name: EXCHANGE.SOMECORP.Local Additional Information: EXCHANGE.SOMECORP.Local Process Information: Process ID: 0xa04 Process Name: C:\Program Files\Microsoft Office 15\root\office15\outlook.exe Network Information: Network Address: - Port: - This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.
Однако другие отправляют сокращенную версию того же события:
<13>Mar 24 14:33:32 MACHINE456 AgentDevice=WindowsLog AgentLogFile=Security PluginVersion=7.1.4.698761 Source=Microsoft-Windows-Security-Auditing Computer=MACHINE456.SOMECORP.Local User= Domain= EventID=4648 EventIDCode=4648 EventType=8 EventCategory=12544 RecordNumber=505638 TimeGenerated=1427222009 TimeWritten=1427222009 Level=0 Keywords=0 Task=0 Opcode=0 Message=SOMECORP\UserB USERB SOMECORP 0x7654321 {BBBBBBBB-EEEE-3CB9-D00A-A56E3F838596} B.User@somecorp.com SOMECORP {00000000-0000-0000-0000-000000000000} EXCHANGE.SOMECORP.Local EXCHANGE.SOMECORP.Local 0x1230 C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.EXE - -
Проблема в том, что мой обработчик событий не анализирует последнее сообщение, потому что в нем нет дескрипторов полей. Я бы предпочел не тратить кучу времени на настройку специальной реализации парсера, который должен работать из коробки.
Почему одно и то же событие генерирует два совершенно разных сообщения журнала на разных компьютерах? Есть ли какой-то вариант конфигурации или политики, на который я должен обратить внимание, чтобы преобразовать их в тот же формат?