บรรจวบ เข้าสู่ระบบ
Score:3
Teo B avatar Server

บันทึกการตรวจสอบ Windows Server

ธง in
Teo B

ฉันมีตัวควบคุมโดเมน windows server 2012r2 และไฟล์เซิร์ฟเวอร์ ฉันเปิดใช้งานการตรวจสอบสำหรับโฟลเดอร์เฉพาะที่ฉันต้องการตรวจสอบ ฉันกำลังรวบรวมบันทึกบนเซิร์ฟเวอร์ greylog ส่วนกลางฉันได้รับบันทึกการตรวจสอบอย่างถูกต้อง ปัญหาคือฉันได้รับบันทึกไฟล์จำนวนมากที่เข้าถึงโดยซอฟต์แวร์ av bitdefender และโดยซอฟต์แวร์ซิงค์บนคลาวด์ที่ฉันใช้เพื่อซิงค์ไฟล์ของฉันในคลาวด์ เซิร์ฟเวอร์ greylog ของฉันมีข้อความที่ฉันไม่ต้องการมากเกินไป ฉันสามารถกรองข้อความที่ฉันต้องการใน greylog ได้ แต่อย่างที่บอกไปว่าฉันไม่ต้องการรับเป็นบันทึกการตรวจสอบ

มีวิธีใดบ้างที่ฉันจะแยกโปรแกรม av และโปรแกรมซิงค์ไม่ให้ถูกบันทึกในโปรแกรมแสดงเหตุการณ์ของ windows

ขอบคุณล่วงหน้า.

146
0 + 0
Alex avatar
us flag
Alex
ฉันขอแนะนำให้ย้ายคำถามนี้ไปที่ฟอรัมความปลอดภัยของข้อมูล (https://security.stackexchange.com/) คุณสามารถทำได้โดยการตั้งค่าสถานะคำถามของคุณเพื่อตรวจสอบ (https://meta.stackexchange.com/questions/184657/how -do-i-transfer-this-question-ask-on-stack-overflow-to-the-math-stack-exchan)
0
ตอบกลับ
Score:0
Alex avatar Server
ธง us
Alex

ฉันไม่เคยได้ยินเกี่ยวกับความเป็นไปได้ดังกล่าวในการตรวจสอบของ Windows และฉันค่อนข้างเชื่อว่าจะไม่สามารถทำได้ บางทีคุณอาจลดปัญหาลงได้ หากวิธีใดต่อไปนี้ได้ผลสำหรับคุณ:

  1. ยกเว้นโฟลเดอร์นี้จากการสแกน AV หรือปรับนโยบายการสแกนสำหรับโฟลเดอร์นี้เพื่อให้ไม่รวมไฟล์ที่มีความเสี่ยงต่ำ (เช่น TXT เป็นต้น)
  2. เปิดใช้งานการตรวจสอบสำหรับไฟล์ที่สำคัญเท่านั้น
  3. เปิดใช้งานการตรวจสอบสำหรับการดำเนินการเฉพาะเท่านั้น (เช่น การเขียน) - ตามหลักการแล้ว โปรแกรมป้องกันไวรัสจะไม่แก้ไขไฟล์ของคุณ และจะไม่แอปซิงค์บนคลาวด์ด้วย
  4. ถ่ายโอนข้อมูลบันทึกการตรวจสอบของ Windows เพื่อสนับสนุนการตรวจสอบความสมบูรณ์ของไฟล์แบบพิเศษ (FIM) หรือโซลูชันป้องกันการรั่วไหลของข้อมูล (DLP) ที่มีความสามารถเหล่านี้

ฉันต้องระบุว่าฉันกำลังพูดถึงตัวเลือกการตรวจสอบเอง ฉันไม่ทราบแน่ชัดว่าคุณรวบรวมบันทึกจากตัวแสดงเหตุการณ์อย่างไร อาจมีวิธีกรองก่อนที่จะออกจากเครื่อง Windows ไปยังเซิร์ฟเวอร์ greylog อาจมีวิธีบังคับให้ Graylog ส่งข้อความค้นหาเฉพาะด้วยการกรองบันทึกเหล่านี้ แต่นั่นเป็นคำถามเพิ่มเติมเกี่ยวกับ Graylog ไม่ใช่บันทึกความปลอดภัยของ Windows

ป.ล. คำถามกึ่งที่เกี่ยวข้องซึ่งยังไม่มีคำตอบ: ไม่รวมไฟล์บางประเภทจากการตรวจสอบความปลอดภัยใน windows server 2008

0 + 0
Teo B avatar
in flag
Teo B
ขอบคุณอเล็กซ์ คำตอบดูเหมือนถูกต้อง จะตรวจสอบเฉพาะการลบและแก้ไขการเขียนเท่านั้น จะลองทำพรุ่งนี้เช้าที่ทำงาน จะโพสต์ผลลัพธ์
0
ตอบกลับ
Teo B avatar
in flag
Teo B
การตรวจสอบการทำงานสำหรับการเขียนแก้ไขและการลบที่สร้างขึ้นเท่านั้น ไม่มีรายการบันทึกมากมายจาก av และ sync ตอนนี้ฉันสามารถกรองและแยกข้อมูลที่ฉันต้องการใน greylog ขอบคุณอีกครั้ง
0
ตอบกลับ
Alex avatar
us flag
Alex
ดีใจที่ได้ยินเช่นนั้น. หากช่วยได้ โปรดทำเครื่องหมายว่าเป็นคำตอบ และลองใช้แนวทางที่ Greg เสนอในคำตอบที่สอง - อาจมีวิธีกรองระดับระบบปฏิบัติการโดยใช้ WEF
0
ตอบกลับ
Score:0
avatar Server
ธง cn
Greg Askew

ไม่สามารถเลือกแบบละเอียดได้ว่าจะบันทึกเหตุการณ์ใดสำหรับหมวดหมู่ย่อย สิ่งที่คุณสามารถทำได้คือตั้งค่า Windows Event Forwarder และระบุตัวกรองสำหรับการสมัครสมาชิกที่ระงับกิจกรรมที่คุณไม่ต้องการ จากนั้นให้เซิร์ฟเวอร์นั้นส่งบันทึกไปยัง SIEM ของคุณ

คุณยังสามารถตรวจสอบสิ่งที่คุณกำลังตรวจสอบได้อีกด้วย หากจำเป็นต้องอ่าน อาจไม่มีความยืดหยุ่น หากคุณสนใจเฉพาะการแก้ไข คุณสามารถยกเว้นช่องทำเครื่องหมายการตรวจสอบการอ่านต่างๆ และนั่นอาจช่วยในเรื่องปริมาณได้

0 + 0
Teo B avatar
in flag
Teo B
ฉันส่งต่อบันทึกด้วย nx log ce ในขณะนี้ จะทดสอบเครื่องมืออื่น ๆ ในช่วงเวลาที่สอง ขอบคุณเกร็ก
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา