我有一台 Windows Server 2012r2 域控制器和文件服务器。我启用了要监视的特定文件夹的审核。我正在集中式 Graylog 服务器上收集日志。我正确地获取了审核日志,问题是我还获取了大量由 av 软件 bitdefender 访问的文件日志,以及我用来在云中同步文件的云同步软件访问的文件日志。我的 Graylog 服务器被我不想要的消息淹没了。我可以在 Graylog 中过滤我想要的消息,但正如我所说,我不想将它们作为审核日志接收。
有什么方法可以排除 av 程序和同步程序在 Windows 事件查看器中的记录吗?
提前致谢。
答案1
我从未听说过 Windows 审计中存在这种可能性,而且我非常确信这是无法实现的。如果以下任何一种方法对您有用,也许您可以缓解此问题:
- 将此文件夹从 AV 扫描中排除,或调整此文件夹的扫描策略,以便排除低风险文件(例如 TXT 等)
- 仅对关键文件启用审核
- 仅对特定操作启用审核(例如写入) - 理想情况下,防病毒软件不会编辑您的文件,云同步应用程序也不会编辑。
- 转储 Windows 审计日志,转而使用具有这些功能的专门文件完整性监控 (FIM) 或数据泄漏防护 (DLP) 解决方案。
我必须声明,我谈论的是审计选项本身。我不知道您具体如何从事件查看器收集日志。也许有一种方法可以在日志离开 Windows 计算机进入 graylog 服务器之前对其进行过滤;也许有一种方法可以强制 Graylog 发送经过过滤的日志的特定查询。但这更像是一个关于 Graylog 本身的问题,而不是 Windows 安全日志的问题。
PS 一个半相关的问题,也没有答案:在 Windows Server 2008 中从安全审核中排除特定文件类型
答案2
无法详细选择要记录子类别的哪些事件。您可以设置 Windows 事件转发器,并为订阅指定一个过滤器以抑制您不想要的事件,然后让该服务器将其日志发送到您的 SIEM。
您还可以查看您正在审核的内容。如果需要读取,则可能没有灵活性。如果您只对修改感兴趣,则可以排除各种读取审核复选框,这可能会对数量有所帮助。