我们的一名 IT 安全分析师正在休产假
她从一台电脑上删除了 Windows 事件查看器日志。在质问她之前,我们想弄清楚删除这些事件日志是否有任何商业原因。
我不是 IT 人员,所以我不确定,但我们希望确保当她重返工作岗位时给她一个公平的机会解释她的行为。
答案1
她已从电脑上删除了 Windows 事件查看器日志。
在典型的公司设置中,事件日志按大小归档,从而创建一个归档文件。因此,在与某人对质之前,您可能想检查一下机器的配置,因为您承认自己对此知之甚少。 相同的功能可以轮换日志,因此不会创建存档,这意味着较旧的事件最终将被最近的活动覆盖。
我不是 IT 人员,所以我不确定,但我们希望确保当她重返工作岗位时给她一个公平的机会解释她的行为。
仅根据这句话,您不应该与相关安全分析师对质,因为您似乎不熟悉系统的实际配置方式。作为一名管理员,如果有人来找我,用他们自己的话说,他们“不是 IT 人员”,我会立即去找他们的经理,确保他们受到纪律处分。
如果另一位管理员来找我,我会解释我的行为并继续我的生活。作为一名管理员,在很多情况下,清理已记录的事件是可以接受的行为。
答案2
许多不同的“清理”应用都建议删除它们以节省空间。她可能安装了其中一个应用来解决其他问题,但并不了解让此类应用清除日志的含义。