Windows 安全性紀錄(EVT)存檔年限

windows evt

Ken(Bigcandy) 2013-08-07 10:26:34 ‧ 5624 瀏覽

分享至

請問大家，由於Windows 安全性紀錄(EVT)包含使用者登入登出、存檔作業等紀錄
因此需要保存
因個資法關係，需要五年

但是裡面也包含了很多無用資訊、系統資訊等
(尤其很多防火牆警告，又沒法關閉)
使得檔案很大

大家是怎麼處理的呢？

看更多先前的討論...收起先前的討論...

鐵殼心 iT邦高手 1 級 ‧ 2013-08-07 10:54:34 檢舉

曾經有一份安全性紀錄擺在我的面前，但是我沒有珍惜，
等到失去的時候才後悔莫及，塵世間最痛苦的事莫過於此。
如果上天可以給我個機會再來一次的話，我會對這份紀錄說我愛她，
如果非要在這份紀錄愛加上一個期限，我希望是一萬年......

總裁 iT邦好手 1 級 ‧ 2013-08-07 13:34:32 檢舉

tecksin提到：
安全性紀錄

是這份嗎??...

halawing iT邦新手 2 級 ‧ 2013-08-07 17:09:55 檢舉

我現在也正在看有啥比較好的方法將 Windows 的 EVT 轉出來
只是目前嘗試用的幾個多多少少都有點不符需求的地方...

Ken(Bigcandy) iT邦大師 1 級 ‧ 2013-08-07 17:27:42 檢舉

halawing提到：
將 Windows 的 EVT 轉出來

看一下我的部落格，有紀錄，自動的

Ken(Bigcandy) iT邦大師 1 級 ‧ 2013-08-15 14:15:44 檢舉

請問，大家怎麼面對這個問題？

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

u8526425

iT邦大師 1 級 ‧ 2013-08-07 10:31:43

可以導到log server
或是排程匯出成檔案

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

hon2006 iT邦大師 1 級 ‧ 2013-08-07 11:29:11 檢舉

最近在研究這個
說不定有點幫助
http://www.splunk.com/view/splunk-app-for-windows/SP-CAAAHTE

hon2006 iT邦大師 1 級 ‧ 2013-08-08 00:09:56 檢舉

PsLogList
可以用 id 篩選
http://technet.microsoft.com/en-us/sysinternals/bb897544.aspx

hon2006 iT邦大師 1 級 ‧ 2013-08-08 00:19:15 檢舉

dumpel 也可以用 id 篩選,不要的篩選掉就會比較小
-e nn Filters for event id nn (up to 10 may be specified)

Ken(Bigcandy) iT邦大師 1 級 ‧ 2013-08-13 11:02:12 檢舉

hon2006提到：
http://www.splunk.com/view/splunk-app-for-windows/SP-CAAAHTE

他說：Event Log information for Application, System and Security
那不如直接用dumpel 就好

Ken(Bigcandy) iT邦大師 1 級 ‧ 2013-08-13 11:08:17 檢舉

我已經使用以下方式轉存了，只是卡在『他的檔案很大、沒法替除系統性EVT』，我希望只留下User紀錄，或者，只Dumpel security？？

&lt;pre class="c" name="code">dumpel -s IP -l system -f PCName%DATE:~0,4%%DATE:~5,2%%DATE:~8,2%/system.log
dumpel -s IP application -f PCName%DATE:~0,4%%DATE:~5,2%%DATE:~8,2%/application.log
dumpel -s IP -l security -f PCName%DATE:~0,4%%DATE:~5,2%%DATE:~8,2%/security.log