Моя цель: я хочу узнать, кто удаляет файлы в общей сетевой папке. Пользователи иногда жалуются, что файл отсутствует и, как обычно, виноваты другие.
У меня включен аудит файлов для этих сетевых ресурсов. Если я захожу в средство просмотра событий, чтобы взглянуть на события аудита, я вижу их тонну, иногда более 100 от одного и того же пользователя за ту же секунду, только «ReadAttributes» или «ReadData (или ListDirectory)». (Я предполагаю поисковый индекс или аналогичный)
Как отключить регистрацию этих событий, чтобы они не наводняли мой журнал событий?
Мой обходной путь - создать фильтр XML, используя
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*
</Select>
<Suppress Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]]
</Suppress>
</Query>
</QueryList>
только отображать важный логи вроде меняют и удаляют. В журнале безопасности всегда содержится от 28 до 29 тысяч событий.
Может быть, из-за этого наводнения я могу видеть журналы только за последние минуты, но не за 1 час или дольше. Также, если я использую фильтры XML. Например, если я бегу
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]]
</Select>
</Query>
</QueryList>
чтобы показать удаления файлов, я вижу только те, что были за последние пять минут. Если я посмотрю через десять минут, я увижу совершенно другой результат и больше не файлы, которые были удалены 15 минут назад.
Есть ли в журнале максимальное количество событий и, если оно достигнуто, более старые удаляются? Архив? Где я могу найти журналы, сделанные день назад?
В целом это делает журнал аудита бессмысленным, поскольку обычно только через несколько дней (если не недель) какой-то пользователь обнаруживает, что важный файл был удален. Предложения?
Лучший способ уменьшить шум, который вы видите, - это изменить настройки аудита, которые вы включили для файлового ресурса (-ов).
Я подозреваю, что когда вы включили аудит, вы поставили все флажки для всех типов доступа, включая доступ «Чтение». Это обязательно приведет к переполнению журнала событий, поскольку Windows будет регистрировать событие 4663 для каждого доступа на чтение к файлу и / или каталогу.
Я предлагаю вам просмотреть настройки аудита и включить аудит только для операций записи (например, WriteData и т. Д.). Это должно значительно снизить уровень шума.
В качестве альтернативы вы также можете увеличить размер журнала событий безопасности. Это можно сделать в средстве просмотра событий Windows, щелкнув журнал правой кнопкой мыши. Если размер контролируется групповой политикой, вам придется отредактировать соответствующую групповую политику.
О, и отличная работа с фильтрами журнала событий!