Remove From My Forums

Reter logs de Auditoria

Pergunta
0

Entrar para Votar

Olá pessoal, estou precisando habilitar uma auditoria em algumas pastas de um determinado servidor, houve uma fraude no ambiente onde o usuário alterou um arquivo de remessa, aquele que é usado para envio de pagamentos de boletos, a pessoa alterou os dados desse arquivo antes de ser criptografado. Agora preciso habilitar a auditoria dessas pastas para saber quem anda mexendo por lá.

Eu habilitei a auditoria local no server na opção: "Computer Configuration > Windows Settings > Security Settings > Local Policies >> Audit Object Access".
Dai habilitei a auditoria somente nas pastas que eu preciso.

Agora preciso do seguinte:
- Habilitar a retenção de logs dessa auditoria;
- Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;
- Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.

Obrigado.

segunda-feira, 22 de agosto de 2016 20:50

Respostas

0

Entrar para Votar
Boa tarde Wesley P. Rodrigues,

Vamos lá,

- Habilitar a retenção de logs dessa auditoria;

Não há como “habilitar a retenção” por GPO

Podemos ARQUIVAR os logs utilizando da seguinte opção nas propriedades do SECURITY LOGS no Event Viewer:

Set Log Retention Policy

- Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;

Igual no cenário anterior, ele pode aumentar o tamanho da pasta de SECURITY, utilizando 4GB de tamanho conforme artigo: https://support.microsoft.com/en-us/kb/957662

- Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.

As respostas anteriores já resolvem este item J

Acho que é isso.

Abraço.

Thales F Quintas

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

TechNet Community Support

Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
- Editado Thales F Quintas quarta-feira, 24 de agosto de 2016 18:28
- Marcado como Resposta Thales F Quintas sexta-feira, 26 de agosto de 2016 13:05
quarta-feira, 24 de agosto de 2016 18:21

Todas as Respostas

0

Entrar para Votar
Boa tarde Wesley P. Rodrigues,

Vamos lá,

- Habilitar a retenção de logs dessa auditoria;

Não há como “habilitar a retenção” por GPO

Podemos ARQUIVAR os logs utilizando da seguinte opção nas propriedades do SECURITY LOGS no Event Viewer:

Set Log Retention Policy

- Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;

Igual no cenário anterior, ele pode aumentar o tamanho da pasta de SECURITY, utilizando 4GB de tamanho conforme artigo: https://support.microsoft.com/en-us/kb/957662

- Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.

As respostas anteriores já resolvem este item J

Acho que é isso.

Abraço.

Thales F Quintas

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

TechNet Community Support

Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
- Editado Thales F Quintas quarta-feira, 24 de agosto de 2016 18:28
- Marcado como Resposta Thales F Quintas sexta-feira, 26 de agosto de 2016 13:05
quarta-feira, 24 de agosto de 2016 18:21
0

Entrar para Votar

Thales, a diferença entre o que citou acima para o que é feito via police é apenas a forma como é aplicado? Lá (gpo) tem uma opção onde é mostrado a retenção dos logs, então não há necessidade de fazer isso, ou essa opção é apenas para o AD, ou não tem nada a ver?

- Computer configuration > Policies > Windows Settings > Security Settings > Event Log > Retention method for security log and Retain security log

sexta-feira, 26 de agosto de 2016 13:50
0

Entrar para Votar
Wesley P. Rodrigues,

Pode fazer via GPO sim, tendo em vista que seria para todas as máquinas no domínio, né?!

Abraço.

Thales F Quintas

Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

TechNet Community Support

Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
- Editado Thales F Quintas sexta-feira, 26 de agosto de 2016 17:27
sexta-feira, 26 de agosto de 2016 17:22

Produtos

Resources

Solutions

Atualizações

Avaliações

Sites relacionados

Treinamento

Certificações

Outros recursos

Por produtos

Outros links

Não é um IT Pro?

Usuário com melhor resposta

Reter logs de Auditoria

Pergunta

Respostas

Todas as Respostas