Windows Server 2012r2 도메인 컨트롤러와 파일 서버가 있습니다. 모니터링하려는 특정 폴더에 대해 감사를 활성화했습니다. 중앙 집중식 greylog 서버에서 로그를 수집하고 있습니다. 감사 로그를 올바르게 가져오고 있는데, 문제는 AV 소프트웨어 bitdefender가 액세스하는 파일에 대한 수많은 로그도 가져오고 있다는 것입니다. 클라우드에서 내 파일을 동기화하는 데 사용하는 클라우드 동기화 소프트웨어도 마찬가지입니다. 내 greylog 서버가 내가 원하지 않는 메시지로 인해 과부하 상태가 되었습니다. greylog에서 원하는 메시지를 필터링할 수 있지만 앞서 말했듯이 해당 메시지를 감사 로그로 받고 싶지 않습니다.
Windows 이벤트 뷰어에 av 프로그램과 동기화 프로그램이 로그인되지 않도록 제외할 수 있는 방법이 있나요?
미리 감사드립니다.
답변1
나는 Windows 감사에서 그러한 가능성에 대해 들어본 적이 없으며 이것이 달성될 수 없다고 거의 확신합니다. 아래 중 하나라도 도움이 될 경우 문제를 완화할 수 있습니다.
- AV 검사에서 이 폴더를 제외하거나 위험도가 낮은 파일(예: TXT 등)이 제외되도록 이 폴더에 대한 검사 정책을 조정하십시오.
- 중요한 파일에 대해서만 감사 활성화
- 특정 작업(예: 쓰기)에 대해서만 감사를 활성화합니다. 이상적으로 바이러스 백신은 파일을 편집하지 않으며 클라우드 동기화 앱도 편집하지 않습니다.
- 이러한 기능을 갖춘 특수 파일 무결성 모니터링(FIM) 또는 데이터 유출 방지(DLP) 솔루션을 위해 Windows 감사 로그를 덤프합니다.
감사 옵션 자체에 대해 이야기하고 있다는 점을 말씀드리고 싶습니다. 이벤트 뷰어에서 로그를 수집하는 방법을 구체적으로 모르겠습니다. Windows 시스템에서 greylog 서버로 이동하기 전에 필터링하는 방법이 있을 수 있습니다. 어쩌면 Graylog가 이러한 로그를 필터링하여 특정 쿼리를 보내도록 하는 방법이 있을 수도 있습니다. 그러나 이는 Windows 보안 로그가 아니라 Graylog 자체에 대한 질문입니다.
추신 : 반 관련 질문이지만 답변도 없습니다.Windows Server 2008의 보안 감사에서 특정 파일 형식 제외
답변2
하위 범주에 대해 기록되는 이벤트를 세부적으로 선택할 수는 없습니다. Windows 이벤트 전달자를 설정하고, 원하지 않는 이벤트를 억제하는 구독 필터를 지정한 다음 해당 서버에서 해당 로그를 SIEM에 전달하도록 할 수 있습니다.
감사 중인 내용을 검토할 수도 있습니다. 읽기가 필요한 경우 유연성이 없을 수 있습니다. 수정에만 관심이 있는 경우 다양한 읽기 감사 확인란을 제외하면 볼륨에 도움이 될 수 있습니다.