все!
Мне было поручено решить проблему с тем, как мы управляем журналами событий с нашего файлового сервера. В настоящее время у нас есть сценарий, который экспортирует все записи безопасности один раз в неделю в резервную папку.
Ну, я проверял эти журналы пару дней назад и заметил, что МНОГО записей пропало. Оказывается, было так много событий, что наш лимит в 128 МБ быстро заполнялся, перезаписывая самые старые записи. У нас всегда в среднем 130 тысяч записей.
При дальнейшем исследовании я обнаружил некоторые вещи:
Эти "нежелательные" записи в основном как это: записи об агенте Arcserve, проверяющем случайные файлы. Я нашел следующую команду где-то в Интернете, и если она действительно раскрывает то, что я думаю, то 96 тыс. Журналов (или почти 75%) являются результатом возни с этим приложением.
get-eventlog security -Message "*caagstart*"
я нашел этот GPO применение параметров аудита на этом конкретном сервере. Я думаю, однако, что это само по себе не приведет к аудиту каждого отдельного файла в нем - я ожидал найти любую запись аудита (или SACL, как я думаю, она называется), определяющая, какие папки следует проверять. Не могу найти. Я где-то читал icacls сказал бы мне, какие папки сейчас проверяются, но я не мог понять, как заставить его работать.
Думаю, я мог бы создать какой-нибудь скрипт для удаления этих журналов, связанных с Arcserve, пару раз в день, но это решение не кажется хорошим. Я также мог бы настроить какой-то сервер журнала для сбора и обработки этих событий, но это тоже кажется преувеличением - все, что нам нужно, это иметь возможность проверять, если когда-либо понадобится, кто создал, изменил или удалил файл. Увеличение максимального количества файлов - еще одно решение, которое кажется не совсем правильным.
Есть ли способ запретить этому приложению создавать записи журнала? Кто-нибудь рекомендует что-нибудь еще, что я могу сделать?
Да, кстати: это сервер WS2012R2.
Вы не можете выборочно удалять журналы из журнала событий безопасности, так как это нарушает целостность журнала аудита. Однако в большинстве случаев вы можете указать, что именно попадает в журнал.
Вам определенно следует увеличить размер журнала, и в этом нет ничего плохого. Даже увеличение размера журнала до 1 Гб не должно вызывать проблем.
При аудите папки вы можете указать, какой пользователь подвергается аудиту. Поскольку служба агента Arcservce, скорее всего, работает под уникальной учетной записью пользователя (и если это не так, измените ее, чтобы она работала), вы должны иметь возможность изменить свой аудит, чтобы он не включал эту учетную запись пользователя.
Наконец, получение решения для управления журналами - хотя в данном случае и не обязательно - не является излишним. Существует множество решений, которые хорошо подходят для небольших и крупных установок. Некоторые из них (например, EventSentry) позволяют вам точно определять, какие журналы хранить, а какие исключить.
