5
Policies für Event Log
Hi,
habe ein paar Fragen zu den Policies für Eventlogs. Umgebung ist Windows 2016 & 2018
Es gibt zwei Orte:
Windows Settings\Security Settings\Event Log
Maximum ... log size <- diese Policy greift anscheinend
Retain ... log und Retention method for ... By Days <- greift wohl nicht
== diese Policies scheinen pre Win 2008?
Adm Templates\Windows Components\Event Log Service
Back up log automatically when full <- entspricht archive log when full?
Control event log behaviour when the log file reaches its max <- entspricht overwrite events as needed?
== das sind die aktuellen Policies?
Das System wurde 2016 von einem externen Dienstleister aufgesetzte. Daher wundere ich mich gerade wieso da nicht gleich Event Log Service genutzt wurde.
Ist eine "Retention Policy by Days" mit Windows 2016 Boardmitteln noch möglich?
sg Dirm
habe ein paar Fragen zu den Policies für Eventlogs. Umgebung ist Windows 2016 & 2018
Es gibt zwei Orte:
Windows Settings\Security Settings\Event Log
Maximum ... log size <- diese Policy greift anscheinend
Retain ... log und Retention method for ... By Days <- greift wohl nicht
== diese Policies scheinen pre Win 2008?
Adm Templates\Windows Components\Event Log Service
Back up log automatically when full <- entspricht archive log when full?
Control event log behaviour when the log file reaches its max <- entspricht overwrite events as needed?
== das sind die aktuellen Policies?
Das System wurde 2016 von einem externen Dienstleister aufgesetzte. Daher wundere ich mich gerade wieso da nicht gleich Event Log Service genutzt wurde.
Ist eine "Retention Policy by Days" mit Windows 2016 Boardmitteln noch möglich?
sg Dirm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 921814846
Url: https://administrator.de/contentid/921814846
Printed on: May 10, 2024 at 10:05 o'clock
5 Comments
Latest comment
Hi
da die Suche innerhalb der Logs mit Boardmitteln eher _dürftig_ ist (imho), würde ich mir einen kleinen Elasticsearch Server mit Kibana aufsetzen und die Logs an der Stelle sammeln, je nachdem wie viele Server Ihr habt reicht ein einzelner ES Server aus und man kann sich aus bestimmten EventIDs auch Dashboards erstellen.
Wir machen mittlerweile alles über zentrale LogServer um das gesammelt an einer Stelle zu haben und darüber steuern wir auch die RetentionPolicy der LogFiles.
Gruß
@clSchak
da die Suche innerhalb der Logs mit Boardmitteln eher _dürftig_ ist (imho), würde ich mir einen kleinen Elasticsearch Server mit Kibana aufsetzen und die Logs an der Stelle sammeln, je nachdem wie viele Server Ihr habt reicht ein einzelner ES Server aus und man kann sich aus bestimmten EventIDs auch Dashboards erstellen.
Wir machen mittlerweile alles über zentrale LogServer um das gesammelt an einer Stelle zu haben und darüber steuern wir auch die RetentionPolicy der LogFiles.
Gruß
@clSchak
Hi
hm ja das hört sich auch gut an. Kopiert ihr die Archived Logs per Script und löscht sie dann? Logged ihr in den standard Pfad?
sg Dirm
hm ja das hört sich auch gut an. Kopiert ihr die Archived Logs per Script und löscht sie dann? Logged ihr in den standard Pfad?
sg Dirm
es gibt einen kostenlosen Client "winlogbeat" der die Logs zum Cluster kopiert. Ansonsten ist die Standard-Rotation der Logs an, wobei wir aber Log-Files auf 1GB festgelegt haben um ggf. Puffer zu haben.
Sammelt ihr alle Server oder nur bestimmte? Clients? Bei Clients habe ich schon mal überlegt, insbesondere wegen SCCM Problemchen.
Wir sammeln die Logs von den Anmeldeserver (DC's), Fileserver (FileAudit) und alles sonstigen relevanten Systeme wie Exchange, Radius Server usw.
Vorteil bei Elastic: man kann es direkt im Cluster betreiben, unserer besteht mittlerweile aus 6 Node zzgl. eines Kibana Servers, tägliches Log-Volumen liegt bei 15-25GB.
Clients loggen wir nur zum Teil so umfangreich, z.B. Entwicklung.
Vorteil bei Elastic: man kann es direkt im Cluster betreiben, unserer besteht mittlerweile aus 6 Node zzgl. eines Kibana Servers, tägliches Log-Volumen liegt bei 15-25GB.
Clients loggen wir nur zum Teil so umfangreich, z.B. Entwicklung.
