it-swarm.com.de

Wie kann ich bestimmte Ereignisse aus dem Ereignisprotokoll in Windows Server 2008 entfernen?

Benötige ich dafür ein Tool eines Drittanbieters?

21
JC.

Microsoft verhindert dies absichtlich. Das gesamte Konzept der Ereignisanzeige besteht darin, Ihnen bestimmte Ereignisse zu präsentieren, die möglicherweise Ihre Aufmerksamkeit erfordern. Wenn man ein zufälliges Ereignis löschen könnte, könnte das System in gewissem Sinne ohne Ihr Wissen kompromittiert werden, was es unsicher macht.

Wenn Sie ein Fehlerereignis protokolliert haben, finden Sie heraus, was das Problem verursacht, und beheben Sie es. Sie möchten kein Loch in einen Damm flicken, indem Sie einen Kaugummi in das Loch stecken.

Wenn etwas zu oft Informations- oder Warnereignisse protokolliert, verfügt die Ereignisprotokollquelle (entweder Microsoft oder ein Drittanbieter) häufig über eine Einstellung, die angibt, wie oft oder auf welcher Protokollierungsstufe die Anwendung konfiguriert ist. Hier können Sie die Protokollierung minimieren, nicht indem Sie das Ereignisprotokoll operieren.

18
mrTomahawk

Der Beitrag des OP ist gültig. Das Hauptproblem bei der Protokollierung, Fehlerberichterstattung und Alarmierung ist weißes Rauschen. Wenn zu viele "Fehler" gemeldet werden und die meisten von ihnen eine niedrige Priorität haben oder überhaupt keine Bedenken haben, ignorieren Administratoren ALLE Fehler. Gut oder schlecht, das ist nur eine Tatsache des Lebens.

Einer der Fehler, über die er spricht, ist (glaube ich) die Ereignis-ID 1111. Dies bedeutet einfach, dass Sie einen Drucker mit einem Treiber zugeordnet haben, der auf dem Server, mit dem Sie verbunden sind, nicht verfügbar ist. In den meisten Fällen handelt es sich um einen Fehler, der keine Rolle spielt. Es gibt nichts zu "beheben", da dies kein Problem darstellt.

Wenn Sie tatsächliche Probleme finden möchten und bestimmte Ereignis-IDs haben, die Sie nicht durchkreuzen möchten, erstellen Sie eine benutzerdefinierte Ansicht mit den folgenden Schritten:

  1. Klicken Sie in Ihrem Ereignisprotokoll im Aktionsbereich auf "Aktuelles Protokoll filtern".
  2. Etwa in der Mitte des angezeigten Dialogfelds finden Sie ein Textfeld mit <All Event IDs>
  3. Ersetzen Sie diesen Text durch Ihre Filteranforderungen.
    • Wenn Sie nur ein bestimmtes Ereignis möchten, geben Sie diese Ereignis-ID dort ein.
    • Wenn Sie mehrere haben, verwenden Sie Kommas zum Trennen.
    • Wenn Sie ausschließen möchten, verwenden Sie ein Minuszeichen.
    • In diesem Fall würden wir "-1111" verwenden (natürlich ohne die Anführungszeichen).
  4. Klicken Sie im Dialogfeld auf "OK".
  5. Klicken Sie im Aktionsbereich jetzt auf "Filter in benutzerdefinierter Ansicht speichern".

Wenn Sie jetzt Ihr Ereignisprotokoll anzeigen möchten, verwenden Sie Ihre benutzerdefinierte Ansicht, und es werden nur die Informationen angezeigt, mit denen Sie sich wirklich befassen.

Ich weiß, dass dies ein später Beitrag zu einem toten Thread ist, aber hoffentlich hilft es jemand anderem, der dies mehr googelt als Beiträge von "[Arbeiten wie beabsichtigt, n00b!]" ;-)

35
Chad Patrick

In Windows können Sie nur das gesamte Protokoll löschen. Ich habe nur eine Drittanbieter-App gefunden, die behauptet, dies zu tun - Winzapper , aber ich habe sie nie verwendet und sie besagt, dass sie für NT und 2000 ist, sodass ich nicht weiß, ob sie für Server 2003/funktioniert. 2008. Beachten Sie, dass das Ereignisprotokoll möglicherweise beschädigt wird, wenn Sie diese verwenden. Gehen Sie daher vorsichtig vor.

4
Sam Cogan

Was Ihr Problem möglicherweise lösen könnte, ist das Ändern der Überwachungsrichtlinien in Gruppenrichtlinien. Ohne zu wissen, was genau Sie nicht anzeigen möchten, bin ich mir nicht sicher, ob es eine Einstellung dafür gibt, aber hier ist ein Beispiel.

Führen Sie in GPMC einen Drilldown durch Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Überwachungsrichtlinie durch. Es gibt hier keine TONNE Granularität, aber vielleicht können Sie loswerden, was Ihre Protokolle füllt. (Meine DCs sind nicht 2008, also habe ich dies aus Sicht von 2003 AD, hoffentlich ist es nicht ganz anders)

1
Kara Marfia

Es gibt keine unterstützte Möglichkeit, einzelne Protokolleinträge aus Windows-Ereignisprotokollen zu löschen. Dies ist aus einer Reihe sehr guter Gründe absichtlich so konzipiert.

Der beste Weg, um unerwünschte Protokolleinträge zu beheben, besteht darin, die Ereignisse, die sie generieren, in der Anwendung entsprechend zu behandeln. Die Auswahl der geeigneten Protokollebene, d. H. Ausführlich, Informationen, Warnung, Fehler und kritischer Fehler, für jede geschriebene Nachricht ist eine wichtige Komponente bei der Bereitstellung von Protokollen, die leicht zu filtern sind. Einige Protokollierungsframeworks bieten auch die Möglichkeit, wiederholte identische Ereignisse in einem einzelnen Protokolleintrag mit einer Anzahl zusammenzufassen.

Leider habe ich einige Kommentare von Leuten gesehen, denen anscheinend ein grundlegendes Verständnis der wichtigsten Konzepte der Computersicherheit fehlt. Die Ereignisse in einem Protokoll , insbesondere ein Sicherheitsereignisprotokoll , sind aus einem bestimmten Grund unveränderlich. Wenn Ereignisse im Sicherheitsereignisprotokoll gelöscht werden könnten, würde dies die Sicherheit des Computers weitaus mehr beeinträchtigen als das Kennwort einer Person im Protokoll, da diese es in das falsche Textfeld eingegeben hat. Gute OS-Designer wissen, dass Benutzer Fehler machen und dass das Kennwort eines Benutzers möglicherweise im Sicherheitsereignisprotokoll angezeigt wird. Dies ist einer der Gründe, warum Sicherheitsereignisprotokolle nur von Administratoren angezeigt werden dürfen.

Durch die Möglichkeit, einzelne Ereignisse aus dem Sicherheitsprotokoll zu löschen, kann ein Angreifer seine Aktivitäten jedoch auf eine Weise verbergen, die viel schwieriger zu erkennen ist, als wenn das Löschen des gesamten Protokolls die einzige Operation vom Typ Löschen ist, die bereitgestellt wird. Ein typisches Beispiel finden Sie im Abschnitt Cover Tracks auf der Fehlerbehandlung, Überwachung und Protokollierung Seite der Open Web Application Security Project (OWASP) -Seite, auf der Folgendes angegeben ist:

Cover Tracks

Der Hauptpreis bei Angriffen auf Protokollierungsmechanismen geht an den Konkurrenten, der Protokolleinträge auf granularer Ebene löschen oder bearbeiten kann, "als ob das Ereignis noch nie stattgefunden hätte!". Durch das Eindringen und Bereitstellen von Rootkits kann ein Angreifer spezielle Tools verwenden, die die Manipulation bekannter Protokolldateien unterstützen oder automatisieren können. In den meisten Fällen dürfen Protokolldateien nur von Benutzern mit Root-/Administratorrechten oder über genehmigte Protokollmanipulationsanwendungen bearbeitet werden. In der Regel sollten Protokollierungsmechanismen darauf abzielen, Manipulationen auf granularer Ebene zu verhindern, da ein Angreifer seine Spuren für einen beträchtlichen Zeitraum verbergen kann, ohne entdeckt zu werden. Einfache Frage; Wenn Sie von einem Angreifer kompromittiert würden, wäre das Eindringen offensichtlicher, wenn Ihre Protokolldatei ungewöhnlich groß oder klein wäre oder wenn sie wie das Protokoll jedes zweiten Tages aussehen würde?

Ich würde weiter argumentieren, dass jeder, der administrativen Zugriff auf ein System hat, zunächst ein höheres Maß an Vorsicht und Liebe zum Detail walten lassen sollte. Ein Teil davon besteht darin, die durchgeführten Arbeiten zu überprüfen und anzuhalten, um selbst häufig verwendete Dialogfelder zu lesen, um sich vor schädlichen Fehlern zu schützen.

Siehe auch:

0
JamieSee