none
log de seguranca RRS feed

  • Pergunta

  • Bom dia,

    Marquei a opção para fazer log de auditoria dos usuários da área remota. ("t167226\usuarios da area de trabalho remota").

    Porém, ele está pegando também o o usuário T167226$ (que é o próprio computador), o que está deixando meu log muito grande. Geralmente o processo que está marcando é o do antivírus. Como remover este usuário do log???

    Requerente:
        Identificação de segurança: SISTEMA
        Nome da conta:        T167226$
        Domínio da conta:        MEUDOMINIO
        Identificação de logon:        0x3e7



    • Editado Zé Maria 87 terça-feira, 5 de setembro de 2017 14:26
    terça-feira, 5 de setembro de 2017 13:13

Respostas

  • Zé Maria 87

    Tudo bem amigo?

    Isso correto, como eu disse, este é um log padrão de logon (conta do computador) do Windows, e não tem como evitá-los... 

    Para visualizar seus logs de auditoria, faça um filtro com o numero do evento, e também como o Marcos recomendou, reveja as configurações do log para não ficar muito grande, mas defina um tamanho que seja suficiente para conseguir analisa-los no período que deseja.

    Veja este post onde o colega cria uma forma de importar os logs para Excel, não são os mesmo que esta auditando mas talvez consiga adaptar, não olhei a fundo, mas vale uma pesquisa:

    https://edermachadoo.wordpress.com/2016/05/19/criando-auditoria-de-logon-de-usuarios-na-rede/

    Abraços.
    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    segunda-feira, 11 de setembro de 2017 18:43

Todas as Respostas

  • Olá,

    Qual é a função desse usuário? É possível desativar?

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quarta-feira, 6 de setembro de 2017 19:23
  • Zé Maria 87

    Tudo bem amigo?

    Que tipo de auditoria você habilitou no servidor? Explique um pouco melhor...

    Sobre o log que você informou, este é um log de auditoria padrão do Windows referente ao processo de logon, cujo Event ID é o 4624 (ou algo perto disso), correto?

    Você deve habilitar auditoria com cuidado, pois pode facilmente consumir muito espaço em disco, e lotar seus arquivos de log com informações desnecessárias.

    Veja estas documentações:

    https://social.technet.microsoft.com/wiki/contents/articles/4322.aspx

    http://www.blogdodanilo.com.br/2013/07/habilitando-auditoria-active-directory-windows.html

    Abraços.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    quinta-feira, 7 de setembro de 2017 20:35
  • Olá, esse T167226$ acredito que seja um usuário criado pelo próprio sistema. T167226 é o nome do computador. Mas não sei porque está auditando ele. marquei para auditar somente os usuários da área de tabalho remota. Os eventos com maior número de logs são dessa conta.

    Exemplo do log:

    Houve a tentativa de acessar um objeto.

    Requerente:
        Identificação de segurança:        SISTEMA
        Nome da conta:        T167226$
        Domínio da conta:        MEUDOMINIO
        Identificação de logon:        0x3e7

    Objeto:
        Servidor de objetos:    Security
        Tipo de objeto:    File
        Nome do objeto:    C:\Windows\System32\wbem\WmiPrvSE.exe
        ID do identificador:    0x97c

    Informações do processo:
        Identificação do processo:    0xc14
        Nome do processo:    C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe

    Informações da solicitação de acesso:
        Acessos:    WriteAttributes
                    
        Máscara do acesso:    0x100

    Estou auditando o evento 4663, os acessos a pastas e arquivos, como há poucos usuários o log não está grande.

    segunda-feira, 11 de setembro de 2017 12:31
  • Olá,

    Para que o Log não fique tão grande, você tem duas opções:

    1. Definir o tamanho do Log a ser armazenado
    2. Enviar esses Logs para um Server Dedicado a essa atividade.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 11 de setembro de 2017 12:45
  • Zé Maria 87

    Tudo bem amigo?

    Isso correto, como eu disse, este é um log padrão de logon (conta do computador) do Windows, e não tem como evitá-los... 

    Para visualizar seus logs de auditoria, faça um filtro com o numero do evento, e também como o Marcos recomendou, reveja as configurações do log para não ficar muito grande, mas defina um tamanho que seja suficiente para conseguir analisa-los no período que deseja.

    Veja este post onde o colega cria uma forma de importar os logs para Excel, não são os mesmo que esta auditando mas talvez consiga adaptar, não olhei a fundo, mas vale uma pesquisa:

    https://edermachadoo.wordpress.com/2016/05/19/criando-auditoria-de-logon-de-usuarios-na-rede/

    Abraços.
    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    segunda-feira, 11 de setembro de 2017 18:43