none
Event log - Audit mode - ridurre la catalogazione RRS feed

  • Domanda

  • Salve a tutti, 

    ho letto i vari thread, ma non sono riuscito a trovare se é possibile ridurre a priori la registrazione degli eventi in windows 2008 r2.

    ho attivato la modalità audit che crea event log piu corposi, non si possono filtrare prima che vengano registrati ? o il sistema é obbligato a registrarli tutti?

    grazie mille

    Davide

    venerdì 10 febbraio 2017 17:10

Risposte

Tutte le risposte

  • L'unico filtro che puoi eseguire prima della memorizzazione nel registro consiste nell'impostazione delle voci di controllo:

    Filtri più complessi possono essere eseguiti solo successivamente alla memorizzazione nel registro. Tuttavia, per evitare che vada ad occupare troppo spazio su disco, puoi anche eseguire una o più volte al giorno un'esportazione avanzata dei soli eventi che ti interessano svuotando poi tutto il contenuto del registro.


    venerdì 10 febbraio 2017 21:18
    Moderatore
  • Grazie mille Fabrizio! proveró le tue istruzioni!, 

    il mio ambiente di lavoro é composto da un file server molto acceduto e i log di Auditing registrando molte attività portano il file log a dimensioni nell'ordine di svariati GByte che rallentano il sistema.

    tutto questo per otemperare la normativa italiana per gli amministratori di sistema.

    Sto usando uno script che preleva dal log solo i dati necessari per la normativa, cioé le attività eseguite da noi amministratori di sistema, ma non riesce a copire la finestra di 1 giorno.

    Da qui la richiesta di filtrari a priori in fase di registrazione. 

    Mi basterebbe soltanto filtrare le attività di uno specifico gruppo locale di Amministrazione, vedo di capire dove mi posso spingere con le voci di controllo da te suggerite per trovare il giusto compromesso.

    grazie ancora

    Davide 


    sabato 11 febbraio 2017 13:59
  • Visto che parlavi di un numero elevato di eventi pensavo che ti stavi riferendo ad un auditing delle azioni su file e cartelle, per gli eventi di accesso ovviamente non puoi utilizzare le voci di controllo.
    In ogni caso le indicazioni inserite nell'ultimo link sono ugualmente applicabili: se esegui più esportazioni al giorno dovresti riuscire a mantenere contenute le dimensioni del registro, tuttavia per le prestazioni l'unico modo è eseguire un monitoraggio con performance monitor (l'hardware del server potrebbe essere sottodimensionato).
    sabato 11 febbraio 2017 18:01
    Moderatore
  • Salve Fabrizio, 

    sono ancora qua.. scusami ma ho ancora dei dubbi.

    sto seguendo i tuoi consigli e esporto i logs giornalieri, peró non mi é chiaro ancora se il sistema non puo registrare a priori certi eventi per evitare mole di dati nel log? Da quello che ho capito non si puo fare..

    nel dettaglio ho dovuto abilitare per ottemperare la normativa italiana sugli amministratori di sistema le policies locali  con il settaggio “Success, Failure” come segue:

    

    nel dettaglio la policy che crea molto traffico é quella sottolineata in nero, perché il server é un share server con molti accessi giornalieri.

     

    grazie

    Davide

    mercoledì 15 febbraio 2017 11:33
  • No, come dicevo per gli eventi di accesso non puoi fare molto (inizialmente pensavo che si trattava di un auditing delle azioni su file e cartelle). Al massimo potresti configurare un server di raccolta eventi in modo da gestire e archiviare i registri separatamente:
    https://technet.microsoft.com/it-IT/library/4aa6403f-d4b8-43a4-a70d-ceb7f88c524e

    In ogni caso però ti servirà almeno lo spazio sufficiente ad archiviare i registri eventi tra un'esportazione all'altra.

    mercoledì 15 febbraio 2017 11:50
    Moderatore