Windows Server 审计日志

Windows Server 审计日志

我有一台 Windows Server 2012r2 域控制器和文件服务器。我启用了要监视的特定文件夹的审核。我正在集中式 Graylog 服务器上收集日志。我正确地获取了审核日志,问题是我还获取了大量由 av 软件 bitdefender 访问的文件日志,以及我用来在云中同步文件的云同步软件访问的文件日志。我的 Graylog 服务器被我不想要的消息淹没了。我可以在 Graylog 中过滤我想要的消息,但正如我所说,我不想将它们作为审核日志接收。

有什么方法可以排除 av 程序和同步程序在 Windows 事件查看器中的记录吗?

提前致谢。

答案1

我从未听说过 Windows 审计中存在这种可能性,而且我非常确信这是无法实现的。如果以下任何一种方法对您有用,也许您可​​以缓解此问题:

  1. 将此文件夹从 AV 扫描中排除,或调整此文件夹的扫描策略,以便排除低风险文件(例如 TXT 等)
  2. 仅对关键文件启用审核
  3. 仅对特定操作启用审核(例如写入) - 理想情况下,防病毒软件不会编辑您的文件,云同步应用程序也不会编辑。
  4. 转储 Windows 审计日志,转而使用具有这些功能的专门文件完整性监控 (FIM) 或数据泄漏防护 (DLP) 解决方案。

我必须声明,我谈论的是审计选项本身。我不知道您具体如何从事件查看器收集日志。也许有一种方法可以在日志离开 Windows 计算机进入 graylog 服务器之前对其进行过滤;也许有一种方法可以强制 Graylog 发送经过过滤的日志的特定查询。但这更像是一个关于 Graylog 本身的问题,而不是 Windows 安全日志的问题。

PS 一个半相关的问题,也没有答案:在 Windows Server 2008 中从安全审核中排除特定文件类型

答案2

无法详细选择要记录子类别的哪些事件。您可以设置 Windows 事件转发器,并为订阅指定一个过滤器以抑制您不想要的事件,然后让该服务器将其日志发送到您的 SIEM。

您还可以查看您正在审核的内容。如果需要读取,则可能没有灵活性。如果您只对修改感兴趣,则可以排除各种读取审核复选框,这可能会对数量有所帮助。

相关内容