Hola Microsoft,
Actualmente, tengo el evento 4656 realizando alrededor de 10,432 elementos. He determinado que el responsable es el antivirus de McAfee y ellos se han limpiado las manos diciendo no hay nada que podamos hacer o la otra respuesta desactive la auditoria
fallida de ese evento id.
Mi jefe no acepta tal respuesta y desea encontrar una forma de que no ingresen los eventos del id 4656 provenientes o generados por el proceso del anti virus de McAfee. ¿Cómo puede realizar esta petición?
La razón principal es que la tabla del visor de Windows de Seguridad tiene una duración máxima de dos días y a la hora de alguna investigación la información no perduraría lo suficiente. La posibilidad que algún dato
importante sea enterrado en todo el ruido que genera el anti-virus también es una posibilidad que no se desea correr.
Actualmente, he pensado en un proxy que permita crear excepciones cuando los programas traten de comunicarse con el dll que escribe en la tabla. Pero tengo enterado que Windows prohíbe esa posibilidad.