dirmhirn
Goto Top

Policies für Event Log

Hi,

habe ein paar Fragen zu den Policies für Eventlogs. Umgebung ist Windows 2016 & 2018
Es gibt zwei Orte:

Windows Settings\Security Settings\Event Log
Maximum ... log size <- diese Policy greift anscheinend
Retain ... log und Retention method for ... By Days <- greift wohl nicht
== diese Policies scheinen pre Win 2008?

Adm Templates\Windows Components\Event Log Service
Back up log automatically when full <- entspricht archive log when full?
Control event log behaviour when the log file reaches its max <- entspricht overwrite events as needed?
== das sind die aktuellen Policies?

Das System wurde 2016 von einem externen Dienstleister aufgesetzte. Daher wundere ich mich gerade wieso da nicht gleich Event Log Service genutzt wurde.

Ist eine "Retention Policy by Days" mit Windows 2016 Boardmitteln noch möglich?

sg Dirm

Content-ID: 921814846

Url: https://administrator.de/contentid/921814846

Printed on: December 4, 2024 at 06:12 o'clock

clSchak
clSchak Jul 07, 2021 at 07:01:46 (UTC)
Goto Top
Hi

da die Suche innerhalb der Logs mit Boardmitteln eher _dürftig_ ist (imho), würde ich mir einen kleinen Elasticsearch Server mit Kibana aufsetzen und die Logs an der Stelle sammeln, je nachdem wie viele Server Ihr habt reicht ein einzelner ES Server aus und man kann sich aus bestimmten EventIDs auch Dashboards erstellen.

Wir machen mittlerweile alles über zentrale LogServer um das gesammelt an einer Stelle zu haben und darüber steuern wir auch die RetentionPolicy der LogFiles.

Gruß
@clSchak
Dirmhirn
Dirmhirn Jul 08, 2021 at 08:46:07 (UTC)
Goto Top
Hi

hm ja das hört sich auch gut an. Kopiert ihr die Archived Logs per Script und löscht sie dann? Logged ihr in den standard Pfad?

sg Dirm
clSchak
clSchak Jul 09, 2021 at 13:52:50 (UTC)
Goto Top
es gibt einen kostenlosen Client "winlogbeat" der die Logs zum Cluster kopiert. Ansonsten ist die Standard-Rotation der Logs an, wobei wir aber Log-Files auf 1GB festgelegt haben um ggf. Puffer zu haben.
Dirmhirn
Dirmhirn Aug 07, 2021 at 11:29:35 (UTC)
Goto Top
Sammelt ihr alle Server oder nur bestimmte? Clients? Bei Clients habe ich schon mal überlegt, insbesondere wegen SCCM Problemchen.
clSchak
clSchak Aug 09, 2021 at 06:53:21 (UTC)
Goto Top
Wir sammeln die Logs von den Anmeldeserver (DC's), Fileserver (FileAudit) und alles sonstigen relevanten Systeme wie Exchange, Radius Server usw.

Vorteil bei Elastic: man kann es direkt im Cluster betreiben, unserer besteht mittlerweile aus 6 Node zzgl. eines Kibana Servers, tägliches Log-Volumen liegt bei 15-25GB.

Clients loggen wir nur zum Teil so umfangreich, z.B. Entwicklung.