Администратор моей сети сказал, что он устранял проблему и очистил журналы событий.
Это проблема? Каковы некоторые преимущества очистки журналов средства просмотра событий при устранении неполадок программного обеспечения?
Если журналы очистки могут предоставить лучший обзор во время сеанса устранения неполадок, это также можно рассматривать как критическую проблему безопасности.
Фактически, журналы очистки генерируют 2x идентификатора событий (1102 и 104), которые обычно используются в SOC (Security Operation Center) с определенными правилами SIEM или сценариями использования. Поэтому я бы не предлагал очищать журналы в целом, поскольку это может привести к ложному срабатыванию. Вместо этого я бы предложил использовать фильтр «Просмотр событий», функцию экспорта журналов или решение SIEM.
Он представляет собой чистый лист, позволяющий не обращать внимания на весь предыдущий «шум» и сосредоточиться на новых ошибках.