it-swarm-vi.tech

Làm cách nào để xóa các sự kiện cụ thể khỏi nhật ký sự kiện trong Windows Server 2008?

Tôi có cần một công cụ của bên thứ ba cho việc này không?

21
JC.

Microsoft cố tình ngăn bạn làm điều này. Toàn bộ khái niệm của Trình xem sự kiện là để trình bày cho bạn một số sự kiện có thể cần sự chú ý của bạn. Nếu một người có thể đi vào và xóa bất kỳ sự kiện ngẫu nhiên nào, thì hệ thống có thể - theo một nghĩa nào đó - bị xâm phạm mà bạn không biết, do đó làm cho nó không an toàn.

Nếu bạn có một sự kiện lỗi được ghi lại, hãy tìm hiểu nguyên nhân gây ra sự cố và khắc phục nó. Bạn không muốn vá một lỗ trên con đập bằng cách dán một miếng kẹo cao su vào lỗ.

Nếu một cái gì đó đang ghi nhật ký thông tin hoặc sự kiện thận trọng quá thường xuyên, thì nhiều lần nguồn nhật ký sự kiện (Microsoft hoặc bên thứ ba) có một số cài đặt cho biết mức độ thường xuyên hoặc mức độ ghi nhật ký được định cấu hình cho ứng dụng. Đó là nơi bạn đi để giảm thiểu việc đăng nhập, không phải bằng cách phẫu thuật trên nhật ký sự kiện.

18
mrTomahawk

Bài viết của OP là hợp lệ. Vấn đề số một với việc ghi nhật ký, báo cáo lỗi và cảnh báo là tiếng ồn trắng. Khi có quá nhiều "lỗi" được báo cáo và hầu hết chúng đều có mức độ ưu tiên thấp hoặc không đáng lo ngại, các quản trị viên có xu hướng bỏ qua TẤT CẢ các lỗi. Tốt hay xấu, đây chỉ là một thực tế của cuộc sống.

Một trong những lỗi mà anh ấy đang nói đến là (tôi nghĩ) ID sự kiện 1111. Điều đó đơn giản có nghĩa là bạn có một máy in được ánh xạ với trình điều khiển không có sẵn trên máy chủ mà bạn được kết nối. Đó là một lỗi không đáng quan tâm trong hầu hết các trường hợp ... không có gì để "sửa chữa" vì nó không phải là vấn đề.

Nếu bạn muốn tìm các vấn đề thực tế và bạn có ID sự kiện cụ thể mà bạn không quan tâm để tìm hiểu, hãy tạo chế độ xem tùy chỉnh với các bước sau:

  1. Trong nhật ký sự kiện của bạn, nhấp vào "Lọc Nhật ký hiện tại" trong ngăn hành động.
  2. Khoảng một nửa hộp thoại bật lên, bạn sẽ tìm thấy một hộp văn bản có <All Event IDs>
  3. Thay thế văn bản này với nhu cầu bộ lọc của bạn. [.__.]
    • Nếu bạn chỉ muốn một sự kiện nhất định, hãy đặt ID sự kiện đó vào đó.
    • Nếu bạn có bội số, hãy sử dụng dấu phẩy để phân tách.
    • Nếu bạn muốn loại trừ, sử dụng dấu trừ.
    • Trong trường hợp này, chúng tôi sẽ sử dụng "-1111" (không có dấu ngoặc kép của khóa học).
  4. Nhấp vào "OK" trên hộp thoại.
  5. Trong ngăn hành động, bây giờ bạn bấm vào "Lưu bộ lọc vào chế độ xem tùy chỉnh".

Bây giờ khi bạn muốn xem nhật ký sự kiện của mình, hãy sử dụng chế độ xem tùy chỉnh của bạn và chỉ thông tin bạn thực sự quan tâm mới được hiển thị.

Tôi biết rằng đây là một bài viết muộn cho một chủ đề đã chết nhưng hy vọng nó sẽ giúp người khác làm điều này hơn là các bài đăng của "[Làm việc như dự định, n00b!]" ;-)

35
Chad Patrick

Điều duy nhất bạn có thể làm trong Windows là xóa toàn bộ nhật ký. Tôi chỉ tìm thấy một ứng dụng bên thứ ba tuyên bố sẽ làm điều này - Winzapper , tuy nhiên tôi chưa bao giờ sử dụng nó và nó nói rằng nó dành cho NT và 2000 vì vậy tôi không biết liệu nó có hoạt động cho máy chủ 2003/không 2008. Xin lưu ý rằng có khả năng tham nhũng của Nhật ký sự kiện khi sử dụng các mục này, vì vậy hãy thực hiện một cách giả mạo.

4
Sam Cogan

Điều gì có thể giải quyết vấn đề của bạn là thay đổi chính sách kiểm toán trong chính sách nhóm. Không biết cụ thể bạn muốn gì không hiển thị, tôi không chắc có cài đặt nào cho nó không, nhưng đây là một ví dụ.

Trong GPMC, xem chi tiết Cấu hình máy tính - Cài đặt Windows - Cài đặt bảo mật - Chính sách cục bộ - Chính sách kiểm toán. Không có một TẤN chi tiết nào ở đây, nhưng có lẽ bạn có thể thoát khỏi những gì làm đầy nhật ký của bạn. (DC của tôi không phải là 2008, vì vậy đây là những gì tôi đã nhận được từ viễn cảnh năm 2003 sau Công nguyên, hy vọng nó không hoàn toàn khác biệt)

1
Kara Marfia

Không có cách nào được hỗ trợ để xóa các mục nhật ký riêng lẻ khỏi Nhật ký sự kiện Windows. Điều này được thiết kế có chủ đích theo cách đó vì một số lý do rất tốt.

Cách tốt nhất để giải quyết các mục nhật ký không mong muốn là xử lý các sự kiện tạo ra chúng một cách thích hợp trong ứng dụng. Ngoài ra, việc chọn mức nhật ký thích hợp, ví dụ như dài dòng, thông tin, cảnh báo, lỗi và lỗi nghiêm trọng, đối với mỗi thư được viết là một thành phần quan trọng trong việc cung cấp nhật ký dễ lọc. Một số khung ghi nhật ký cũng cung cấp khả năng cuộn các sự kiện giống hệt nhau lặp lại vào một mục nhật ký duy nhất với số đếm.

Thật không may, tôi đã thấy khá nhiều ý kiến ​​từ những người dường như đang thiếu nắm bắt cơ bản về các khái niệm bảo mật máy tính quan trọng. Các sự kiện trong nhật ký, đặc biệt là nhật ký sự kiện bảo mật , là bất biến vì một lý do. Nếu các sự kiện trong nhật ký sự kiện bảo mật có thể bị xóa, bạn sẽ làm giảm tính bảo mật của máy tính hơn nhiều so với việc có mật khẩu của ai đó trong nhật ký vì họ đã nhập nó vào hộp văn bản sai. Các nhà thiết kế hệ điều hành giỏi biết rằng mọi người mắc lỗi và mật khẩu của người dùng có thể hiển thị trong nhật ký sự kiện bảo mật. Đó là một trong những lý do tại sao nhật ký sự kiện bảo mật chỉ được phép Quản trị viên xem.

Tuy nhiên, việc cung cấp khả năng xóa các sự kiện riêng lẻ khỏi nhật ký bảo mật, cho phép kẻ tấn công che giấu các hoạt động của chúng theo cách khó phát hiện hơn nhiều so với khi xóa toàn bộ nhật ký là thao tác loại xóa duy nhất được cung cấp. Như một trường hợp cụ thể, hãy tham khảo phần Bản nhạc trang bìa trên trang web Dự án bảo mật ứng dụng web mở (OWASP) Xử lý lỗi, kiểm tra và ghi nhật ký trang có ghi:

Bản nhạc cover

Giải thưởng cao nhất trong các cuộc tấn công cơ chế ghi nhật ký thuộc về ứng cử viên có thể xóa hoặc thao tác các mục nhật ký ở mức chi tiết, "như thể sự kiện thậm chí chưa từng xảy ra!". Xâm nhập và triển khai rootkit cho phép kẻ tấn công sử dụng các công cụ chuyên dụng có thể hỗ trợ hoặc tự động hóa thao tác của các tệp nhật ký đã biết. Trong hầu hết các trường hợp, tệp nhật ký chỉ có thể được thao tác bởi người dùng có quyền root/quản trị viên hoặc thông qua các ứng dụng thao tác nhật ký được phê duyệt. Theo nguyên tắc chung, các cơ chế ghi nhật ký nên nhằm mục đích ngăn chặn thao túng ở cấp độ chi tiết vì kẻ tấn công có thể ẩn dấu vết của chúng trong một khoảng thời gian đáng kể mà không bị phát hiện. Câu hỏi đơn giản; nếu bạn bị kẻ tấn công xâm nhập, liệu sự xâm nhập sẽ rõ ràng hơn nếu tệp nhật ký của bạn lớn hay nhỏ bất thường, hoặc nếu nó xuất hiện như nhật ký của mọi ngày khác?

Tôi sẽ lập luận thêm rằng bất cứ ai có quyền truy cập quản trị vào một hệ thống nên tham gia vào mức độ thận trọng cao hơn và chú ý đến chi tiết để bắt đầu. Một phần trong đó là kiểm tra công việc khi nó được thực hiện và dừng lại để đọc các hộp thoại thông thường để bảo vệ chống lại các lỗi gây hại.

Xem thêm:

0
JamieSee