我有一個 Windows Server 2012r2 網域控制站和檔案伺服器。我啟用了對我想要監視的特定資料夾的審核。我正在集中式graylog伺服器上收集日誌。我正確地獲取了審核日誌,問題是我還獲取了大量由AV軟體bitdefender以及我用來在雲端中同步文件的雲端同步軟體存取的文件的日誌。我的graylog 伺服器因我不想要的消息而超載。我可以在graylog中過濾我想要的訊息,但正如我所說,我不想將它們作為審核日誌接收。
有什麼方法可以排除 av 程式和同步程式登入 Windows 事件檢視器中嗎?
提前致謝。
答案1
我從未聽說過 Windows 審核中有這種可能性,我非常確信這是不可能實現的。如果以下任何一項對您有用,也許您可以緩解該問題:
- 從 AV 掃描中排除此資料夾,或調整此資料夾的掃描策略,以便排除低風險檔案(例如 TXT 等)
- 僅對關鍵文件啟用審核
- 僅對特定操作(例如寫入)啟用審核 - 理想情況下,防毒軟體不會編輯您的文件,雲端同步應用程式也不會。
- 轉儲 Windows 審核日誌,轉而使用具有這些功能的專用檔案完整性監控 (FIM) 或資料外洩防護 (DLP) 解決方案。
我必須聲明我正在談論審計選項本身。我不知道具體如何從事件檢視器收集日誌。也許有一種方法可以在它們從 Windows 電腦轉移到graylog 伺服器之前對其進行過濾;也許有一種方法可以強制 Graylog 發送特定的查詢並過濾這些日誌。但這更多是關於 Graylog 本身的問題,而不是關於 Windows 安全性日誌的問題。
PS 一個半相關的問題,也沒得到解答:在 Windows Server 2008 中從安全性稽核中排除特定檔案類型
答案2
無法精確地選擇記錄子類別的哪些事件。您可以設定 Windows 事件轉送器,並為訂閱指定一個過濾器來抑制您不需要的事件,然後讓該伺服器將其日誌傳送到您的 SIEM。
您也可以查看您正在審核的內容。如果需要閱讀,可能就沒有彈性了。如果您只對修改感興趣,則可以排除各種讀取審核複選框,這可能有助於提高容量。