none
Problema con auditorias y eventvwr RRS feed

  • Pregunta

  • Hola a todos! una vez más recurro a su ayuda.

    En un servidor de archivos, win2003 R2, active las auditorias sobre el acceso a objetos para los usuarios de ciertas carpetas compartidas. Para una mejor lectura del log, pretendo usar PSloglist.exe, una herramientas de las archifamosas PStools. La idea es tomar ciertos eventos en un txt y procesarlos con PHP para leerlos mas comodamente. 

    Mi problema es el siguiente: cuando ejecuto la setencia, el log de security del eventvwr se me llena de eventos 560/562 del usuario administrador (se llama 'Soporte') con el que ejecuto el comando, desplazando todos los eventos que si me interesa mostrar.

    Los eventos con los cuales se llena el log son estos:

                   

    Event Type: Success Audit
    Event Source: Security
    Event Category: Object Access 
    Event ID: 560
    Date: 13/11/2012
    Time: 10:03:49 a.m.
    User: IV\soporte
    Computer: SLAF-EW40
    Description:
    Object Open:
    Object Server: Security
    Object Type: Key
    Object Name: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Security\Security
    Handle ID: 1720
    Operation ID: {0,2962000042}
    Process ID: 376
    Image File Name: \Device\LanmanRedirector\SLAF-EW40\siw\psloglist.exe
    Primary User Name: SOPORTE
    Primary Domain: IV
    Primary Logon ID: (0x0,0xD97F8)
    Client User Name: -
    Client Domain: -
    Client Logon ID: -
    Accesses: DELETE 
    READ_CONTROL 
    WRITE_DAC 
    WRITE_OWNER 
    Query key value 
    Set key value 
    Create sub-key 
    Enumerate sub-keys 
    Notify about changes to keys 
    Create Link 

    Privileges: -
    Restricted Sid Count: 0
    Access Mask: 0xF003F


    y estos:

    Event Type: Success Audit
    Event Source: Security
    Event Category: Object Access 
    Event ID: 562
    Date: 13/11/2012
    Time: 10:03:49 a.m.
    User: IV\soporte
    Computer: SLAF-EW40
    Description:
    Handle Closed:
      Object Server: Security
      Handle ID: 1720
      Process ID: 376
      Image File Name: \Device\LanmanRedirector\SLAF-EW40\siw\psloglist.exe


    Lo que quisiera saber, es como evitar que me tome dichos eventos para q no me llene el log con cada consulta. Gracias!!


    Lic. Francisco Aguero

    martes, 13 de noviembre de 2012 13:22

Respuestas

  • Se puede filtrar por ID de Evento, pero no por el mismo evento

    La auditoría de seguridad de Windows es a mi entender "demasiado detallada" en algunos aspectos.

    Por un lado viene bien, pero la interpretación de los logs puede ser terrible

    De todas formas, algo que estoy viendo en el evento ¿no son accesos al registro? porque en el registro, al igual que en el sistema de archivos puedes configurar qué y a quién auditar

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta MariLopez lunes, 19 de noviembre de 2012 12:19
    martes, 13 de noviembre de 2012 21:56
    Moderador