Windows Server 2012R2イベントログ/削除されたファイルの監査/最後の数分間のみ表示
私の目標:誰がネットワーク共有上のファイルを削除したかを知りたい。ユーザーは時々、ファイルが欠落していると不平を言っており、いつものように他の人が非難しています。
このネットワーク共有に対してファイル監査を有効にしました。イベントビューアに移動して監査イベントを確認すると、大量のイベントが表示されます。同じユーザーが同じ秒で100を超える場合もあり、「ReadAttributes」または「ReadData(またはListDirectory)」のみです。 (私は検索インデックスまたは同様のものを想定しています)
このイベントのログを無効にして、イベントログがいっぱいにならないようにするにはどうすればよいですか?
私の回避策は、を使用してXMLフィルターを作成することです。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*
</Select>
<Suppress Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x80' or Data='0x1' or Data='0x81' or Data='0x20080' or Data='0x20089')]]
</Suppress>
</Query>
</QueryList>
重要変更や削除などのログのみを表示します。セキュリティログには常に28〜29kのイベントがあります。
たぶんその洪水のせいで、私は最後の数分のログしか見ることができず、1時間以上前のものは見ることができません。また、XMLフィルターを使用する場合。たとえば、私が実行した場合
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[EventData[Data[@Name='AccessMask'] and (Data='0x10000')]]
</Select>
</Query>
</QueryList>
ファイルの削除を表示するために、過去5分間のようなものだけが表示されます。 10分後に見ると、まったく異なる出力が表示され、15分前に削除されたファイルはなくなりました。
ログに記録されるイベントの最大数はありますか?イベントに到達した場合、古いイベントは削除されますか?アーカイブ? 1日前のログはどこにありますか?
全体として、これは監査ログを無意味にします。通常、重要なファイルが削除されたことを一部のユーザーが発見した後(数週間ではないにしても)になります。提案?
表示されるノイズを減らす最善の方法は、ファイル共有で有効にした監査設定を変更することです。
監査を有効にしたときに、「読み取り」アクセスを含むすべてのタイプのアクセスのすべてのボックスをオンにしたと思います。 Windowsはファイルやディレクトリへの読み取りアクセスごとに4663イベントをログに記録するため、これはイベントログをフラッディングすることになります。
監査設定を確認し、書き込みアクティビティ(WriteDataなど)の監査のみを有効にすることをお勧めします。これにより、ノイズが大幅に削減されます。
または、セキュリティイベントログのサイズを増やすこともできます。これは、Windowsイベントビューアでログを右クリックすることで実行できます。サイズがグループポリシーによって制御されている場合は、代わりに対応するグループポリシーを編集する必要があります。
ああ、そしてそれらのイベントログフィルターの素晴らしい仕事です!