我的网络的两个域控制器的安全日志被安全事件 ID 4624 和 4634 以及较小程度上的 4672 所淹没。从互联网上读到这种行为很常见,并不一定意味着存在潜在的问题。
然而,这样的泛滥削弱了日志的实用性:信息太多,没有信息。
我想对 Windows Server 说:不要将事件 ID 4624 和 4634 写入安全日志,而是将其写入仅用于这些事件的新日志文件。这样,我不会降低系统的安全性(审计能力),但我会改进修改后的安全日志所包含的信息。
这可能吗?这是值得建议的吗?
谢谢,
迭戈
答案1
虽然 Windows 允许过滤,但您无法根据 ID 将某些事件转移到其他日志。在某种程度上,可以将某些事件源转移到它们自己的事件日志(例如,您可以为软件产品创建特定日志并将其事件重定向到该日志),但安全日志几乎是不可改变的。
如果这确实让您感到困扰,那么您可能需要投资某种日志监控解决方案,这样您就可以将事件存储在数据库、远程系统日志服务器甚至文本文件中。当然,这些产品通常提供额外的功能,例如警报、规范化、关联、存档等。
其中一个专注于 Windows 的产品是事件哨兵,但还有更多 - 包括免费和开源的。例如,使用 EventSentry,您可以查看事件,同时轻松/自动过滤掉这些事件中的噪音,甚至可以将 4624 存储在单独的数据库中。