none
Reter logs de Auditoria RRS feed

  • Pergunta

  • Olá pessoal, estou precisando habilitar uma auditoria em algumas pastas de um determinado servidor, houve uma fraude no ambiente onde o usuário alterou um arquivo de remessa, aquele que é usado para envio de pagamentos de boletos, a pessoa alterou os dados desse arquivo antes de ser criptografado. Agora preciso habilitar a auditoria dessas pastas para saber quem anda mexendo por lá.

    Eu habilitei a auditoria local no server na opção: "Computer Configuration > Windows Settings > Security Settings > Local Policies >> Audit Object Access".
    Dai habilitei a auditoria somente nas pastas que eu preciso.

    Agora preciso do seguinte:
    - Habilitar a retenção de logs dessa auditoria;
    - Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;
    - Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.

    Obrigado.

    segunda-feira, 22 de agosto de 2016 20:50

Respostas

  • Boa tarde Wesley P. Rodrigues,

    Vamos lá,

    - Habilitar a retenção de logs dessa auditoria;

    Não há como “habilitar a retenção” por GPO

    Podemos ARQUIVAR os logs utilizando da seguinte opção nas propriedades do SECURITY LOGS no Event Viewer:

    Set Log Retention Policy

    - Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;

    Igual no cenário anterior, ele pode aumentar o tamanho da pasta de SECURITY, utilizando 4GB de tamanho conforme artigo: https://support.microsoft.com/en-us/kb/957662

    - Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.

    As respostas anteriores já resolvem este item J

    Acho que é isso.

    Abraço.


    Thales F Quintas

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.


    quarta-feira, 24 de agosto de 2016 18:21

Todas as Respostas

  • Boa tarde Wesley P. Rodrigues,

    Vamos lá,

    - Habilitar a retenção de logs dessa auditoria;

    Não há como “habilitar a retenção” por GPO

    Podemos ARQUIVAR os logs utilizando da seguinte opção nas propriedades do SECURITY LOGS no Event Viewer:

    Set Log Retention Policy

    - Aumentar o tempo dessa retenção, hoje o log não esta ficando mais que 4 horas de logs;

    Igual no cenário anterior, ele pode aumentar o tamanho da pasta de SECURITY, utilizando 4GB de tamanho conforme artigo: https://support.microsoft.com/en-us/kb/957662

    - Quais os riscos de manter os logs por 09 dias, no caso do espaço, como eu mensuro esse espaço para salvar os logs.

    As respostas anteriores já resolvem este item J

    Acho que é isso.

    Abraço.


    Thales F Quintas

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.


    quarta-feira, 24 de agosto de 2016 18:21
  • Thales, a diferença entre o que citou acima para o que é feito via police é apenas a forma como é aplicado? Lá (gpo) tem uma opção onde é mostrado a retenção dos logs, então não há necessidade de fazer isso, ou essa opção é apenas para o AD, ou não tem nada a ver?

    - Computer configuration > Policies > Windows Settings > Security Settings > Event Log > Retention method for security log and Retain security log

    sexta-feira, 26 de agosto de 2016 13:50
  • Wesley P. Rodrigues,

    Pode fazer via GPO sim, tendo em vista que seria para todas as máquinas no domínio, né?!

    Abraço.


    Thales F Quintas

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.


    sexta-feira, 26 de agosto de 2016 17:22