Usuário com melhor resposta
log de seguranca

Pergunta
-
Bom dia,
Marquei a opção para fazer log de auditoria dos usuários da área remota. ("t167226\usuarios da area de trabalho remota").
Porém, ele está pegando também o o usuário T167226$ (que é o próprio computador), o que está deixando meu log muito grande. Geralmente o processo que está marcando é o do antivírus. Como remover este usuário do log???
Requerente:
Identificação de segurança: SISTEMA
Nome da conta: T167226$
Domínio da conta: MEUDOMINIO
Identificação de logon: 0x3e7
- Editado Zé Maria 87 terça-feira, 5 de setembro de 2017 14:26
Respostas
-
Tudo bem amigo?
Isso correto, como eu disse, este é um log padrão de logon (conta do computador) do Windows, e não tem como evitá-los...
Para visualizar seus logs de auditoria, faça um filtro com o numero do evento, e também como o Marcos recomendou, reveja as configurações do log para não ficar muito grande, mas defina um tamanho que seja suficiente para conseguir analisa-los no período que deseja.
Veja este post onde o colega cria uma forma de importar os logs para Excel, não são os mesmo que esta auditando mas talvez consiga adaptar, não olhei a fundo, mas vale uma pesquisa:
https://edermachadoo.wordpress.com/2016/05/19/criando-auditoria-de-logon-de-usuarios-na-rede/
Abraços.
RenanRenan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Sugerido como Resposta Renan Antonio Rodrigues segunda-feira, 11 de setembro de 2017 18:44
- Marcado como Resposta Zé Maria 87 segunda-feira, 11 de setembro de 2017 19:33
Todas as Respostas
-
Olá,
Qual é a função desse usuário? É possível desativar?
A disposição,
Marcos Roberto de Lima
MCT-MCTS-MCITP-MCP
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. -
Tudo bem amigo?
Que tipo de auditoria você habilitou no servidor? Explique um pouco melhor...
Sobre o log que você informou, este é um log de auditoria padrão do Windows referente ao processo de logon, cujo Event ID é o 4624 (ou algo perto disso), correto?
Você deve habilitar auditoria com cuidado, pois pode facilmente consumir muito espaço em disco, e lotar seus arquivos de log com informações desnecessárias.
Veja estas documentações:
https://social.technet.microsoft.com/wiki/contents/articles/4322.aspx
http://www.blogdodanilo.com.br/2013/07/habilitando-auditoria-active-directory-windows.html
Abraços.
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Sugerido como Resposta Renan Antonio Rodrigues quinta-feira, 7 de setembro de 2017 20:35
- Não Sugerido como Resposta Renan Antonio Rodrigues segunda-feira, 11 de setembro de 2017 18:44
-
Olá, esse T167226$ acredito que seja um usuário criado pelo próprio sistema. T167226 é o nome do computador. Mas não sei porque está auditando ele. marquei para auditar somente os usuários da área de tabalho remota. Os eventos com maior número de logs são dessa conta.
Exemplo do log:
Houve a tentativa de acessar um objeto.
Requerente:
Identificação de segurança: SISTEMA
Nome da conta: T167226$
Domínio da conta: MEUDOMINIO
Identificação de logon: 0x3e7
Objeto:
Servidor de objetos: Security
Tipo de objeto: File
Nome do objeto: C:\Windows\System32\wbem\WmiPrvSE.exe
ID do identificador: 0x97c
Informações do processo:
Identificação do processo: 0xc14
Nome do processo: C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe
Informações da solicitação de acesso:
Acessos: WriteAttributes
Máscara do acesso: 0x100Estou auditando o evento 4663, os acessos a pastas e arquivos, como há poucos usuários o log não está grande.
-
Olá,
Para que o Log não fique tão grande, você tem duas opções:
- Definir o tamanho do Log a ser armazenado
- Enviar esses Logs para um Server Dedicado a essa atividade.
A disposição,
Marcos Roberto de Lima
MCT-MCTS-MCITP-MCPPor favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
-
Tudo bem amigo?
Isso correto, como eu disse, este é um log padrão de logon (conta do computador) do Windows, e não tem como evitá-los...
Para visualizar seus logs de auditoria, faça um filtro com o numero do evento, e também como o Marcos recomendou, reveja as configurações do log para não ficar muito grande, mas defina um tamanho que seja suficiente para conseguir analisa-los no período que deseja.
Veja este post onde o colega cria uma forma de importar os logs para Excel, não são os mesmo que esta auditando mas talvez consiga adaptar, não olhei a fundo, mas vale uma pesquisa:
https://edermachadoo.wordpress.com/2016/05/19/criando-auditoria-de-logon-de-usuarios-na-rede/
Abraços.
RenanRenan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Sugerido como Resposta Renan Antonio Rodrigues segunda-feira, 11 de setembro de 2017 18:44
- Marcado como Resposta Zé Maria 87 segunda-feira, 11 de setembro de 2017 19:33