如何处理被污染的安全事件日志?

如何处理被污染的安全事件日志?

每个人!

我的任务是解决我们管理文件服务器事件日志的方式问题。目前,我们有一个脚本,每周一次将所有安全条目导出到备份文件夹。

好吧,几天前我检查了这些日志,发现很多条目都丢失了。原来是因为有太多事件,我们的 128mb 限制很快就会填满,覆盖最旧的条目。我们平均有 130k 个条目。

经过进一步调查,我发现了一些事情:

  • 大多数这些条目甚至都不相关。我们想要的主要是记录单个驱动器 (d:) 中的文件创建、访问和删除。对服务器的其余部分进行文件审核也是可取的,因为在某些情况下它会很有用。但这不是我们的主要关注点。
  • 这些“不受欢迎”的条目大多是像这样:有关 Arcserve 代理检查随机文件的条目。我在互联网上的某个地方找到了以下命令,如果它确实揭示了我认为它所做的事,那么 96k 日志(或几乎 75%)就是这个应用程序乱搞的结果。

    get-eventlog security -Message "*caagstart*"

  • 我发现此 GPO在此特定服务器上应用审计参数。不过,我认为仅凭这一点并不能让服务器上的每个文件都受到审计 - 我希望找到任何审计条目(或 SACL,我认为它被称为)来精确指出哪些文件夹应该受到审计。找不到。我在某处读到伊卡克尔斯会告诉我哪些文件夹目前正在被审核,但我无法让它工作。

我认为我可以创建一些脚本来每天删除几次与 Arcserve 相关的日志,但这个解决方案似乎不太好。我还可以设置某种日志服务器来收集和处理这些事件,但这似乎也有些夸张——我们想要的只是能够检查(如果需要的话)谁创建、修改或删除了文件。提高最大文件数是另一个感觉不太正确的解决方案。

有什么方法可以阻止此应用程序生成日志条目吗?有人推荐我还能做些什么吗?

哦,顺便说一下:这是一台 WS2012R2 服务器。

答案1

您无法选择性地从安全事件日志中删除日志,因为这会损害审计日志的完整性。但是,在大多数情况下,您可以定义哪些日志会进入日志。

增加日志的大小是您应该做的事情,这没有什么不对。即使将日志的大小增加到 1Gb 也不会造成任何问题。

审核文件夹时,您可以指定要审核哪个用户。由于 Arcservce 代理服务可能在唯一的用户帐户下运行(如果不是,请将其更改为唯一的用户帐户),您应该能够更改审核,使其不包括该用户帐户。

最后,获得日志管理解决方案(虽然在这种情况下不是必需的)也并非是过度的。有很多解决方案可以很好地适用于较小和较大的安装。其中一些(例如事件哨兵)让您准确定义要存储哪些日志以及要排除哪些日志。

相关内容