it-swarm-tr.com

Windows Server 2008 işletim sistemindeki olay günlüğünden belirli olayları nasıl kaldırabilirim?

Bunun için üçüncü taraf bir araca ihtiyacım var mı?

21
JC.

Microsoft bilerek bunu yapmanızı engeller. Olay Görüntüleyicisi'nin tüm konsepti, dikkatinizi gerektirebilecek belirli olayları size sunmaktır. Birisi içeri girer ve herhangi bir rastgele olayı silebilirse, sistem - bir anlamda - bilmeden tehlikeye girebilir, bu nedenle güvensiz hale getirebilir.

Günlüğe kaydedilen bir hata etkinliğiniz varsa, sorunun nedenini öğrenin ve düzeltin. Deliğe bir sakız yapıştırarak bir barajda bir delik açmak istemezsiniz.

Bir şey bilgilendirme veya uyarı olaylarını çok sık günlüğe kaydediyorsa, olay günlüğü kaynağının (Microsoft veya üçüncü taraf) birçok kez uygulama için ne sıklıkta veya hangi düzeyde günlüğe kaydetme yapılandırıldığını belirten bazı ayarları vardır. Olay günlüğünde ameliyat yapıp günlüğe kaydetmeyi en aza indirdiğiniz yer burasıdır.

18
mrTomahawk

OP'nin gönderisi geçerlidir. Günlüğe kaydetme, hata bildirme ve uyarı ile ilgili bir numaralı sorun beyaz gürültüdür. Çok fazla "hata" rapor edildiğinde ve bunların çoğu düşük önceliğe sahipse veya hiç endişe duymadığında, yöneticiler TÜM hataları göz ardı etme eğilimindedir. İyi ya da kötü, bu sadece hayatın bir gerçeği.

Onun hakkında konuşmak hatalardan biri (sanırım) olay KIMLIĞI 1111. Bu sadece bağlı olduğunuz sunucuda mevcut olmayan bir sürücü ile eşlenmiş bir yazıcınız olduğu anlamına gelir. Bu çoğu durumda endişe verici bir hatadır ... bir sorun olmadığı için "düzeltmek" için hiçbir şey yoktur.

Gerçek sorunları bulmak istiyorsanız ve ayıklamak istemediğiniz belirli olay kimlikleriniz varsa, aşağıdaki adımlarla özel bir görünüm oluşturun:

  1. Etkinlik günlüğünüzde, eylem bölmesindeki "Geçerli Günlüğe Filtre Uygula" yı tıklayın.
  2. Açılan iletişim kutusunun yaklaşık yarısında, <All Event IDs>
  3. Bu metni filtre ihtiyaçlarınızla değiştirin.
    • Yalnızca belirli bir etkinlik istiyorsanız, o etkinlik kimliğini buraya yerleştirin.
    • Katlarınız varsa ayırmak için virgül kullanın.
    • Hariç tutmak istiyorsanız, eksi işareti kullanın.
    • Bu durumda "-1111" kullanırız (tabii ki alıntılar olmadan).
  4. İletişim kutusunda "Tamam" ı tıklayın.
  5. İşlem bölmesinde artık "Filtreyi Özel Görünüme Kaydet" i tıklıyorsunuz.

Etkinlik günlüğünüze bakmak istediğinizde, özel görünümünüzü kullanın, yalnızca gerçekten ilgilendiğiniz bilgiler görüntülenecektir.

Ben bu ölü bir iplik için geç bir yazı olduğunu biliyorum ama umarım bu Googling başka bir "" amaçlandığı gibi çalışma, n00b!] ";-) yazı daha yardımcı olur

35
Chad Patrick

Windows'da yapabileceğiniz tek şey tüm günlüğü temizlemektir. Ben sadece bunu iddia iddia bir üçüncü taraf uygulaması bulundu - Winzapper , ancak ben hiç kullanmadım ve NT ve 2000 için olduğunu gösterir, bu yüzden sunucu 2003/2008. Bunları kullanırken Olay günlüğünün bozulma potansiyeli bulunduğunu unutmayın, bu yüzden dikkatlice uygulayın.

4
Sam Cogan

Sorununuzu çözebilecek olan şey, grup politikasındaki denetim politikalarını değiştirmektir. Özellikle neyi göstermek istemediğinizi bilmeden, bunun için bir ayar olup olmadığından emin değilim, ama işte bir örnek.

GPMC'de, Bilgisayar Yapılandırması - Windows Ayarları - Güvenlik Ayarları - Yerel İlkeler - Denetim İlkesi'ni inceleyin. Burada bir ton ayrıntı düzeyi yok, ama belki de günlüklerinizi dolduran şeylerden kurtulabilirsiniz. (DC'lerim 2008 değil, bu yüzden 2003 AD perspektifinden aldım, umarım tamamen farklı değildir)

1
Kara Marfia

Windows Olay Günlüklerinden tek tek günlük girişlerini silmenin desteklenen bir yolu yoktur. Bu, çok iyi nedenlerden ötürü bilerek tasarlanmıştır.

İstenmeyen günlük girişlerini ele almanın en iyi yolu, bunları uygulama içinde uygun şekilde oluşturan olayları işlemektir. Ayrıca, yazılan her ileti için uygun günlük düzeyini, yani ayrıntılı, bilgi, uyarı, hata ve kritik hatayı seçmek, filtrelenmesi kolay günlüklerin sağlanmasında önemli bir bileşendir. Bazı günlük çerçeveleri, tekrarlanan özdeş olayları tek sayıyla tek bir günlük girişine toplama olanağı sağlar.

Ne yazık ki, temel bilgisayar güvenliği kavramlarının temel bir kavrayışından yoksun görünen insanlardan birkaç yorum gördüm. Bir günlükteki olaylar, özellikle bir güvenlik olay günlüğü bir nedenden dolayı değişmez. Güvenlik olay günlüğündeki olaylar silinebilseydi, bilgisayarın güvenliğini günlüğe birisinin şifresini yanlış metin kutusuna yazdıkları için çok daha fazla azaltabilirsiniz. İyi işletim sistemi tasarımcıları, insanların hata yaptığını ve bir kullanıcının şifresinin güvenlik olay günlüğünde görünebileceğini bilir. Güvenlik olay günlüklerinin yalnızca Yöneticiler tarafından görüntülenmesine izin verilmesinin nedenlerinden biridir.

Bununla birlikte, güvenlik günlüğünden tek tek olayları silme olanağı sağlamak, bir saldırganın etkinliklerini, tüm günlüğü temizlerken sağlanan tek silme türü işlemi olduğundan çok daha zor bir şekilde gizlemesine olanak tanır. Bu durumda, Açık Web Uygulaması Güvenlik Projesi (OWASP) sitesinin Hata İşleme, Denetleme ve Günlüğe Kaydetme sayfasındaki Kapak Parçaları bölümüne bakın:

Kapak Parçaları

Günlüğe kaydetme mekanizması saldırılarında en büyük ödül, “olay hiç olmamış gibi!” Günlük girişlerini ayrıntılı bir düzeyde silen veya değiştirebilen yarışmacıya gider. Kök setlerinin izinsiz girişi ve dağıtımı, bir saldırganın bilinen günlük dosyalarının değiştirilmesine yardımcı olabilecek veya otomatik hale getirebilecek özel araçlar kullanmasına olanak tanır. Çoğu durumda, günlük dosyaları yalnızca kök/yönetici ayrıcalıklarına sahip kullanıcılar veya onaylanmış günlük işleme uygulamaları aracılığıyla değiştirilebilir. Genel bir kural olarak, günlüğe kaydetme mekanizmaları, saldırganın algılanmadan önemli bir süre boyunca izlerini gizleyebileceği için, ayrıntılı düzeyde manipülasyonu önlemeyi amaçlamalıdır. Basit soru; bir saldırgan tarafından ele geçirilmiş olsaydınız, günlük dosyanız anormal derecede büyük veya küçükse veya her günkü günlük gibi görünürse izinsiz giriş daha açık olur muydu?

Ayrıca, bir sisteme yönetici erişimi olan herkesin daha yüksek düzeyde dikkat ve detaylara dikkat etmesi gerektiğini savunuyorum. Bunun bir kısmı, gerçekleştirildiği gibi çift kontrol çalışması ve zarar verici hatalara karşı korumak için ortak iletişim kutularını bile okumayı durdurma.

Ayrıca bakınız:

0
JamieSee