選択した新しいログファイルにリダイレクトするイベントID-セキュリティイベントID4624および4634フラッディングを管理します
ネットワークの2つのドメインコントローラーのセキュリティログは、セキュリティイベントID 4624と4634、および程度は少ないが4672で溢れています。インターネットからこのような動作を読み取ることは非常に一般的であり、必ずしも根本的な問題/問題を意味するわけではありません。
ただし、このような洪水は、ログの有用性を損ないます。情報が多すぎて、情報がありません。
Windowsサーバーに言いたいのですが、イベントID 4624と4634をセキュリティログに書き込まないでください。代わりに、これらのイベントにのみ使用される新しいログファイルに書き込んでください。このようにして、システムのセキュリティ(監査能力)を低下させることはありませんが、変更されたセキュリティログによって保持される情報を改善します。
これは可能ですか?これはお勧めですか?
ありがとう、
ディエゴ
Windowsではフィルタリングが許可されていますが、IDに基づいて特定のイベントを別のログに転送することはできません。特定のイベントソースを独自のイベントログに転送することはある程度可能ですが(たとえば、ソフトウェア製品の特定のログを作成し、そのイベントをそのログにリダイレクトできます)、セキュリティログはほとんど不変です。
これが本当に面倒な場合は、データベース、リモートsyslogサーバー、またはテキストファイルにイベントを保存できる何らかのログ監視ソリューションに投資する必要があります。もちろん、これらの製品は、アラート、正規化、相関、アーカイブなどの追加機能を提供することがよくあります。
Windowsに焦点を当てたそのような製品の1つは EventSentry ですが、無料およびオープンソースのものを含め、さらに多くの製品があります。たとえば、EventSentryを使用すると、これらのイベントからノイズを簡単に/自動的に除外しながらイベントを確認したり、4624を別のデータベースに完全に保存したりすることができます。