Tham gia Đăng nhập
Điểm:3
Teo B avatar Server

Nhật ký kiểm tra máy chủ Windows

lá cờ in
Teo B

Tôi có một máy chủ tệp và bộ điều khiển miền windows server 2012r2. Tôi đã bật tính năng kiểm tra cho một thư mục cụ thể mà tôi muốn theo dõi. Tôi đang thu thập nhật ký trên máy chủ greylog tập trung.Tôi đang nhận được nhật ký kiểm tra một cách chính xác, vấn đề là tôi cũng nhận được rất nhiều nhật ký của các tệp được bitdefender phần mềm av truy cập cũng như bởi phần mềm đồng bộ hóa đám mây mà tôi sử dụng để đồng bộ hóa các tệp của mình trên đám mây. Máy chủ greylog của tôi đang bị quá tải với các thư tôi không muốn. Tôi có thể lọc các tin nhắn tôi muốn trong greylog, nhưng như tôi đã nói, tôi không muốn nhận chúng dưới dạng nhật ký kiểm tra.

Có cách nào để tôi loại trừ chương trình av và chương trình đồng bộ hóa khỏi đăng nhập trong trình xem sự kiện của windows không?

Cảm ơn trước.

146
0 + 0
Alex avatar
lá cờ us
Alex
Tôi cũng khuyên bạn nên chuyển câu hỏi này sang diễn đàn Bảo mật thông tin (https://security.stackexchange.com/), bạn có thể làm điều đó bằng cách gắn cờ câu hỏi của mình để được xem xét (https://meta.stackexchange.com/questions/184657/how -làm-tôi-chuyển-câu-hỏi-hỏi-trên-ngăn-tràn-to-the-math-stack-exchan)
0
Hồi đáp
Điểm:0
Alex avatar Server
lá cờ us
Alex

Tôi chưa bao giờ nghe nói về khả năng như vậy trong kiểm tra Windows và tôi khá tin rằng điều này không thể đạt được. Có lẽ bạn có thể giảm thiểu vấn đề, nếu bất kỳ điều nào dưới đây phù hợp với bạn:

  1. Loại trừ thư mục này khỏi quá trình quét AV hoặc điều chỉnh chính sách quét cho thư mục này để loại trừ các tệp rủi ro thấp (ví dụ: TXT, v.v.)
  2. Chỉ cho phép kiểm tra các tệp quan trọng
  3. Chỉ cho phép kiểm tra các hoạt động cụ thể (ví dụ: ghi) - lý tưởng nhất là phần mềm chống vi-rút sẽ không chỉnh sửa tệp của bạn, ứng dụng đồng bộ hóa trên đám mây cũng vậy.
  4. Kết xuất các bản ghi kiểm tra Windows để ủng hộ giải pháp giám sát tính toàn vẹn của tệp (FIM) hoặc giải pháp ngăn chặn rò rỉ dữ liệu (DLP) chuyên biệt có các khả năng này.

Tôi phải nói rằng tôi đang nói về tùy chọn kiểm toán. Tôi không biết cụ thể cách bạn thu thập nhật ký từ Trình xem sự kiện. Có thể có một cách để lọc chúng trước khi chúng khởi hành từ máy Windows sang máy chủ greylog; có thể có một cách để buộc Graylog gửi một truy vấn cụ thể với những nhật ký này đã được lọc. Nhưng đó sẽ là một câu hỏi về chính Graylog, không phải nhật ký Bảo mật Windows.

Tái bút Một câu hỏi bán liên quan, cũng chưa được trả lời: Loại trừ các loại tệp cụ thể khỏi kiểm tra bảo mật trong máy chủ windows 2008

0 + 0
Teo B avatar
lá cờ in
Teo B
Cảm ơn Alex. Câu trả lời có vẻ hợp pháp. Sẽ chỉ giám sát việc xóa và chỉnh sửa văn bản. Sẽ cố gắng vào sáng mai tại nơi làm việc. Sẽ đăng kết quả.
0
Hồi đáp
Teo B avatar
lá cờ in
Teo B
Kiểm tra hoạt động của nó chỉ dành cho ghi và xóa chỉnh sửa đã tạo. MKhông còn hàng tấn mục nhật ký từ av và đồng bộ hóa. Bây giờ tôi có thể lọc và trích xuất thông tin tôi muốn trong greylog. Cảm ơn một lần nữa
0
Hồi đáp
Alex avatar
lá cờ us
Alex
Vui mừng khi nghe điều đó. Nếu nó giúp, xin vui lòng đánh dấu nó là câu trả lời. Ngoài ra, hãy thử một cách tiếp cận do Greg đề xuất trong câu trả lời thứ hai - có thể có một cách để lọc ở cấp hệ điều hành bằng WEF.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ cn
Greg Askew

It isn't possible to select with granularity what events for a subcategory are logged. What you could is setup a Windows Event Forwarder, and specify a filter for the subscription that suppresses the events you don't want, then have that server ship it's log to your SIEM.

You may also way to review what you are auditing. If read is required, there may not be flexibility. If you're only interested in modifications, you could exclude the various read auditing checkboxes and that may help with the volume.

0 + 0
Teo B avatar
lá cờ in
Teo B
Tôi chuyển tiếp nhật ký với nx log ce vào lúc này. Sẽ kiểm tra một số công cụ khác trong giây lát. Cảm ơn Greg.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.