保留Eventlog

Question

好吧，一个我希望的基本问题..。

背景

目前有一个计划对我管理的一个网络实施审计，他们希望设置事件查看器将事件保留31天。

问题

建议的日志文件站点是什么？另外，如果事件日志已经满了，但是没有一个文件超过31天的话，会发生什么.

希望在tho之前还没有遇到一个简单的问题:)

Answer 1

31天似乎并不不合理，但这完全取决于记录的内容以及日志的潜在用途。事件日志的大小完全取决于记录了多少个事件。您可以将事件日志保留时间定为31天，但您需要考虑：

• 即使您“基准”您的事件日志大小，并知道它通常将是一个可接受的大小与31天的保留，如何不寻常的情况，导致它的规模增长？机会也是你想去查看事件日志的时间。
• 如果将事件日志保留设置为固定时间，则您将面临攻击:攻击者只需标识在事件日志中创建条目的任何方法，然后多次重复该操作，并占用服务器上的所有空闲空间。一种不太可能的情况，但强调指出，当您选择特定的日志保留策略*时，“有趣的”内容可能会开始发生。

您可能希望将事件日志转发配置为具有大量空闲磁盘空间的中央服务器。

**如果您选择“x事件后旋转”，则会发生更有趣的事情。在这种情况下，攻击者可以对服务器做他们想做的任何事情，然后垃圾邮件事件日志来刷新他们的行为记录并清除他们的踪迹。

Answer 2

说实话，事件查看器是Microsofts产品中最弱的产品之一。安装第三方事件日志处理程序。我在自己的机器上使用Splunk (如果您正在记录少量的数据，这是免费下载，但随着您的增长而增加成本)。它不仅读取事件日志，还读取WMI、Perfmon和Server日志等内容。