Policies für Event Log
Hi,
habe ein paar Fragen zu den Policies für Eventlogs. Umgebung ist Windows 2016 & 2018
Es gibt zwei Orte:
Windows Settings\Security Settings\Event Log
Maximum ... log size <- diese Policy greift anscheinend
Retain ... log und Retention method for ... By Days <- greift wohl nicht
== diese Policies scheinen pre Win 2008?
Adm Templates\Windows Components\Event Log Service
Back up log automatically when full <- entspricht archive log when full?
Control event log behaviour when the log file reaches its max <- entspricht overwrite events as needed?
== das sind die aktuellen Policies?
Das System wurde 2016 von einem externen Dienstleister aufgesetzte. Daher wundere ich mich gerade wieso da nicht gleich Event Log Service genutzt wurde.
Ist eine "Retention Policy by Days" mit Windows 2016 Boardmitteln noch möglich?
sg Dirm
habe ein paar Fragen zu den Policies für Eventlogs. Umgebung ist Windows 2016 & 2018
Es gibt zwei Orte:
Windows Settings\Security Settings\Event Log
Maximum ... log size <- diese Policy greift anscheinend
Retain ... log und Retention method for ... By Days <- greift wohl nicht
== diese Policies scheinen pre Win 2008?
Adm Templates\Windows Components\Event Log Service
Back up log automatically when full <- entspricht archive log when full?
Control event log behaviour when the log file reaches its max <- entspricht overwrite events as needed?
== das sind die aktuellen Policies?
Das System wurde 2016 von einem externen Dienstleister aufgesetzte. Daher wundere ich mich gerade wieso da nicht gleich Event Log Service genutzt wurde.
Ist eine "Retention Policy by Days" mit Windows 2016 Boardmitteln noch möglich?
sg Dirm
Please also mark the comments that contributed to the solution of the article
Content-ID: 921814846
Url: https://administrator.de/contentid/921814846
Printed on: December 4, 2024 at 06:12 o'clock
5 Comments
Latest comment
Hi
da die Suche innerhalb der Logs mit Boardmitteln eher _dürftig_ ist (imho), würde ich mir einen kleinen Elasticsearch Server mit Kibana aufsetzen und die Logs an der Stelle sammeln, je nachdem wie viele Server Ihr habt reicht ein einzelner ES Server aus und man kann sich aus bestimmten EventIDs auch Dashboards erstellen.
Wir machen mittlerweile alles über zentrale LogServer um das gesammelt an einer Stelle zu haben und darüber steuern wir auch die RetentionPolicy der LogFiles.
Gruß
@clSchak
da die Suche innerhalb der Logs mit Boardmitteln eher _dürftig_ ist (imho), würde ich mir einen kleinen Elasticsearch Server mit Kibana aufsetzen und die Logs an der Stelle sammeln, je nachdem wie viele Server Ihr habt reicht ein einzelner ES Server aus und man kann sich aus bestimmten EventIDs auch Dashboards erstellen.
Wir machen mittlerweile alles über zentrale LogServer um das gesammelt an einer Stelle zu haben und darüber steuern wir auch die RetentionPolicy der LogFiles.
Gruß
@clSchak
Wir sammeln die Logs von den Anmeldeserver (DC's), Fileserver (FileAudit) und alles sonstigen relevanten Systeme wie Exchange, Radius Server usw.
Vorteil bei Elastic: man kann es direkt im Cluster betreiben, unserer besteht mittlerweile aus 6 Node zzgl. eines Kibana Servers, tägliches Log-Volumen liegt bei 15-25GB.
Clients loggen wir nur zum Teil so umfangreich, z.B. Entwicklung.
Vorteil bei Elastic: man kann es direkt im Cluster betreiben, unserer besteht mittlerweile aus 6 Node zzgl. eines Kibana Servers, tägliches Log-Volumen liegt bei 15-25GB.
Clients loggen wir nur zum Teil so umfangreich, z.B. Entwicklung.