it-swarm-ru.tech

Как удалить определенные события из журнала событий в Windows Server 2008?

Нужен ли сторонний инструмент для этого?

21
JC.

Microsoft намеренно мешает вам сделать это. Вся концепция просмотра событий заключается в представлении вам определенных событий, которые могут потребовать вашего внимания. Если бы кто-то мог зайти и удалить любое случайное событие, то система могла бы - в некотором смысле - быть скомпрометирована без вашего ведома, что сделало бы ее небезопасной.

Если вы зарегистрировали событие ошибки, выясните причину проблемы и устраните ее. Вы не хотите закрывать дыру в плотине, вставляя в нее кусочек жвачки.

Если что-то регистрирует информационные или предупреждающие события слишком часто, то во многих случаях источник журнала событий (либо Microsoft, либо сторонний) имеет какой-либо параметр, который указывает, как часто или на каком уровне ведения журнала настраивается приложение. Вот куда вы идете, чтобы свести к минимуму регистрацию, а не делать операции в журнале событий.

18
mrTomahawk

Пост ОП действителен. Проблема номер один с ведением журнала, отчетами об ошибках и предупреждением - это белый шум. Когда сообщается о слишком большом количестве "ошибок" и большинство из них имеют низкий приоритет или не имеют никакого значения, администраторы склонны игнорировать ВСЕ ошибки. Хорошо это или плохо, это просто факт жизни.

Одна из ошибок, о которых он говорит, - это (я думаю) событие с кодом 1111. Это просто означает, что у вас есть принтер, сопоставленный с драйвером, который недоступен на сервере, к которому вы подключены. В большинстве случаев это ошибка, которая не имеет значения ... "исправить" нечего, так как это не проблема.

Если вы хотите найти реальные проблемы и у вас есть конкретные идентификаторы событий, которые вы не хотите пропустить, создайте пользовательское представление, выполнив следующие действия:

  1. В журнале событий нажмите "Фильтровать текущий журнал" на панели действий.
  2. Примерно на полпути вниз по всплывающему диалоговому окну вы найдете текстовое поле с <All Event IDs>
  3. Замените этот текст вашими потребностями фильтра.
    • Если вы хотите только определенное событие, поместите его там.
    • Если у вас есть кратные, используйте запятые для разделения.
    • Если вы хотите исключить, используйте знак минус.
    • В этом случае мы будем использовать "-1111" (без кавычек, конечно).
  4. Нажмите "ОК" в диалоговом окне.
  5. В области действий вы теперь нажимаете "Сохранить фильтр в пользовательском представлении".

Теперь, когда вы хотите просмотреть свой журнал событий, используйте свое собственное представление, и будет отображаться только та информация, которая вас действительно интересует.

Я знаю, что это поздний пост в мертвой ветке, но, надеюсь, он поможет кому-то еще, кто ищет это в Google, больше, чем посты "[Работая как задумано, n00b!]" ;-)

35
Chad Patrick

Единственное, что вы можете сделать в Windows, это очистить весь журнал. Я нашел только одно стороннее приложение, которое утверждает, что делает это - Winzapper , однако я никогда не использовал его, и оно заявляет, что оно для NT и 2000, поэтому я не знаю, будет ли оно работать для сервера 2003/2008. Имейте в виду, что при их использовании возможно повреждение журнала событий, так что действуйте осторожно.

4
Sam Cogan

Что может решить вашу проблему, так это изменить политики аудита в групповой политике. Не зная, что конкретно вы хотите не показывать, я не уверен, есть ли настройки для этого, но вот пример.

В консоли управления групповыми политиками подробно выберите Конфигурация компьютера - Параметры Windows - Параметры безопасности - Локальные политики - Политика аудита. Здесь нет тонны детализации, но, возможно, вы можете избавиться от того, что заполняет ваши журналы. (Мои DC не 2008 года, так что это то, что я получил с точки зрения AD 2003 года, надеюсь, это не совсем другое)

1
Kara Marfia

Не поддерживается способ удаления отдельных записей журнала из журналов событий Windows. Это сделано специально по ряду очень веских причин.

Лучший способ устранения нежелательных записей в журнале - это обработка событий, которые генерируют их соответствующим образом в приложении. Кроме того, выбор соответствующего уровня журнала, то есть подробного описания, информации, предупреждения, ошибки и критической ошибки, для каждого записываемого сообщения является важным компонентом в предоставлении журналов, которые легко фильтровать. Некоторые каркасы ведения журналов также предоставляют возможность объединять повторяющиеся идентичные события в одну запись журнала со счетчиком.

К сожалению, я видел довольно много комментариев от людей, которые, кажется, упускают фундаментальное понимание ключевых концепций компьютерной безопасности. События в журнале , особенно журнал событий безопасности , являются неизменяемыми по определенной причине. Если бы события в журнале событий безопасности могли быть удалены, вы бы снизили безопасность компьютера гораздо больше, чем если бы в журнале был чей-то пароль, потому что они ввели его в неправильное текстовое поле. Хорошие разработчики ОС знают, что люди делают ошибки и что пароль пользователя может отображаться в журнале событий безопасности. Это одна из причин, по которой журналы событий безопасности разрешено просматривать только администраторам.

Однако, предоставляя возможность удалять отдельные события из журнала безопасности, злоумышленник может скрывать свои действия так, что их гораздо сложнее обнаружить, чем когда очистка всего журнала является единственной предоставленной операцией удаления. В качестве примера можно обратиться к разделу "Треки покрытия" на странице сайта Open Project Security Project (OWASP) Обработка ошибок, аудит и ведение журнала , где говорится:

Обложка треков

Главный приз в атаках с помощью механизма ведения журнала получает претендент, который может удалять или манипулировать записями в журнале на детальном уровне, "как будто событие даже не произошло!". Вторжение и развертывание руткитов позволяет злоумышленнику использовать специализированные инструменты, которые могут помочь или автоматизировать манипулирование известными файлами журналов. В большинстве случаев файлы журналов могут обрабатываться только пользователями с правами суперпользователя/администратора или с помощью утвержденных приложений для работы с журналами. Как правило, механизмы ведения журналов должны быть направлены на предотвращение манипуляций на детальном уровне, поскольку злоумышленник может скрывать свои следы в течение значительного периода времени, не будучи обнаруженным. Простой вопрос; если злоумышленник скомпрометировал вас, будет ли вторжение более очевидным, если ваш файл журнала будет слишком большим или маленьким или он будет выглядеть как журнал каждого дня?

Кроме того, я бы сказал, что любой, кто имеет административный доступ к системе, должен с самого начала проявлять большую осторожность и внимание к деталям. Частью этого является двойная проверка выполняемой работы и прекращение чтения даже общих диалоговых окон для защиты от возможных ошибок.

Смотрите также:

0
JamieSee