iT邦幫忙

0

Windows 安全性紀錄(EVT)存檔年限

請問大家,由於Windows 安全性紀錄(EVT)包含使用者登入登出、存檔作業等紀錄
因此需要保存
因個資法關係,需要五年

但是裡面也包含了很多無用資訊、系統資訊等
(尤其很多防火牆警告,又沒法關閉)
使得檔案很大

大家是怎麼處理的呢?

看更多先前的討論...收起先前的討論...
鐵殼心 iT邦高手 1 級 ‧ 2013-08-07 10:54:34 檢舉
曾經有一份安全性紀錄擺在我的面前,但是我沒有珍惜,
等到失去的時候才後悔莫及,塵世間最痛苦的事莫過於此。
如果上天可以給我個機會再來一次的話,我會對這份紀錄說我愛她,
如果非要在這份紀錄愛加上一個期限,我希望是一萬年......

哈哈
總裁 iT邦好手 1 級 ‧ 2013-08-07 13:34:32 檢舉
tecksin提到:
安全性紀錄

是這份嗎??...疑惑
halawing iT邦新手 2 級 ‧ 2013-08-07 17:09:55 檢舉
我現在也正在看有啥比較好的方法將 Windows 的 EVT 轉出來
只是目前嘗試用的幾個多多少少都有點不符需求的地方...
halawing提到:
將 Windows 的 EVT 轉出來

看一下我的部落格,有紀錄,自動的
請問,大家怎麼面對這個問題?

1 個回答

10
u8526425
iT邦大師 1 級 ‧ 2013-08-07 10:31:43

可以導到log server
或是排程匯出成檔案

看更多先前的回應...收起先前的回應...
hon2006 iT邦大師 1 級 ‧ 2013-08-07 11:29:11 檢舉

最近在研究這個
說不定有點幫助
http://www.splunk.com/view/splunk-app-for-windows/SP-CAAAHTE

hon2006 iT邦大師 1 級 ‧ 2013-08-08 00:09:56 檢舉
hon2006 iT邦大師 1 級 ‧ 2013-08-08 00:19:15 檢舉

dumpel 也可以用 id 篩選,不要的篩選掉就會比較小
-e nn Filters for event id nn (up to 10 may be specified)

hon2006提到:
http://www.splunk.com/view/splunk-app-for-windows/SP-CAAAHTE

他說:Event Log information for Application, System and Security
那不如直接用dumpel 就好

我已經使用以下方式轉存了,只是卡在『他的檔案很大、沒法替除系統性EVT』,我希望只留下User紀錄,或者,只Dumpel security??

<pre class="c" name="code">dumpel -s IP -l system -f PCName%DATE:~0,4%%DATE:~5,2%%DATE:~8,2%/system.log
dumpel -s IP application -f PCName%DATE:~0,4%%DATE:~5,2%%DATE:~8,2%/application.log
dumpel -s IP -l security -f PCName%DATE:~0,4%%DATE:~5,2%%DATE:~8,2%/security.log
u8526425 iT邦大師 1 級 ‧ 2013-08-15 14:31:36 檢舉

我是後面再帶命令列的壓縮指令
7-zip有
這只是保存方式
主要拿來應付資安規範
問題仍在於做不到sort and filter
這得要往log server丟才行

我要發表回答

立即登入回答