Usuário com melhor resposta
Reter logs de Auditoria

Pergunta
-
Olá pessoal, estou precisando habilitar uma auditoria em algumas pastas de um determinado servidor, houve uma fraude no ambiente onde o usuário alterou um arquivo de remessa, aquele que é usado para envio de pagamentos de boletos, a pessoa alterou os dados desse arquivo antes de ser criptografado. Agora preciso habilitar a auditoria dessas pastas para saber quem anda mexendo por lá.
Eu habilitei a auditoria local no server na opção: "Computer Configuration > Windows Settings > Security Settings > Local Policies >> Audit Object Access".
Dai habilitei a auditoria somente nas pastas que eu preciso.Agora preciso do seguinte:
- Habilitar a retenção de logs dessa auditoria;
- Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;
- Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.Obrigado.
Respostas
-
Boa tarde Wesley P. Rodrigues,
Vamos lá,
- Habilitar a retenção de logs dessa auditoria;
Não há como “habilitar a retenção” por GPO
Podemos ARQUIVAR os logs utilizando da seguinte opção nas propriedades do SECURITY LOGS no Event Viewer:
- Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;
Igual no cenário anterior, ele pode aumentar o tamanho da pasta de SECURITY, utilizando 4GB de tamanho conforme artigo: https://support.microsoft.com/en-us/kb/957662
- Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.
As respostas anteriores já resolvem este item J
Acho que é isso.
Abraço.
Thales F Quintas
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
- Editado Thales F Quintas quarta-feira, 24 de agosto de 2016 18:28
- Marcado como Resposta Thales F Quintas sexta-feira, 26 de agosto de 2016 13:05
Todas as Respostas
-
Boa tarde Wesley P. Rodrigues,
Vamos lá,
- Habilitar a retenção de logs dessa auditoria;
Não há como “habilitar a retenção” por GPO
Podemos ARQUIVAR os logs utilizando da seguinte opção nas propriedades do SECURITY LOGS no Event Viewer:
- Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;
Igual no cenário anterior, ele pode aumentar o tamanho da pasta de SECURITY, utilizando 4GB de tamanho conforme artigo: https://support.microsoft.com/en-us/kb/957662
- Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.
As respostas anteriores já resolvem este item J
Acho que é isso.
Abraço.
Thales F Quintas
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
- Editado Thales F Quintas quarta-feira, 24 de agosto de 2016 18:28
- Marcado como Resposta Thales F Quintas sexta-feira, 26 de agosto de 2016 13:05
-
Thales, a diferença entre o que citou acima para o que é feito via police é apenas a forma como é aplicado? Lá (gpo) tem uma opção onde é mostrado a retenção dos logs, então não há necessidade de fazer isso, ou essa opção é apenas para o AD, ou não tem nada a ver?
- Computer configuration > Policies > Windows Settings > Security Settings > Event Log > Retention method for security log and Retain security log
-
Pode fazer via GPO sim, tendo em vista que seria para todas as máquinas no domínio, né?!
Abraço.
Thales F Quintas
Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
- Editado Thales F Quintas sexta-feira, 26 de agosto de 2016 17:27