保留事件日志

保留事件日志

好的,我希望这是一个基本问题......

背景

目前计划在我管理的一个网络上实施审计,他们希望将事件查看器设置为保留 31 天的事件

问题

日志文件的建议站点是什么?此外,如果事件日志已满但没有一个文件超过 31 天,会发生什么情况...

希望以前没有遇到过这样的简单问题:)

答案1

31 天似乎并不不合理,但这完全取决于记录的内容以及日志的潜在用途。事件日志的大小完全取决于记录了多少事件。您可以将事件日志保留期限固定为 31 天,但您需要考虑:

  • 即使您对事件日志大小进行了“基准测试”,并且知道在 31 天内保留该日志的大小通常可以接受,但如果出现导致其大小增长的异常情况怎么办?很有可能这些情况也是您想要查看事件日志的时候。
  • 如果您将事件日志保留期设置为固定的时间段,那么您将面临漏洞:攻击者只需识别在事件日志中输入任何条目的方法,然后重复该操作很多次并占用服务器上的所有可用空间。这种情况不太可能发生,但突出了当您选择特定的日志保留策略时可能会发生“有趣”的事情*

您可能希望配置事件日志转发到具有大量备用磁盘空间的中央服务器。

**如果您选择“在 x 个事件后旋转”,则会发生更有趣的事情。在这种情况下,攻击者可以对服务器进行任何他们想做的事情,然后只需发送事件日志来刷新他们的操作记录并清除他们的踪迹。*

答案2

说实话,事件查看器是微软最弱的产品之一。安装第三方事件日志处理程序。我在自己的机器上使用 Splunk(如果您记录少量数据,可以免费下载,但随着数据量的增长,需要付费)。它不仅可以读取事件日志,还可以读取 WMI、Perfmon 和 SQL Server 日志等内容。

相关内容